• ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

    Организационными называются методы, связанные с грамотной организацией режима допуска к секретам и контроля за секретоносителями на предприятии. Организационные методы делятся на режимные и специальные.
    Режимные методы связаны именно с организацией режима информационной безопасности на фирме. Режимом же называется система ограничения доступа, в данном случае к
    конфиденту.
    Основные режимные меры и мероприятия: контроль над
    доступом сотрудников на предприятие, допуск посетителей только в отведенные для этого помещения, контроль за соблюдением режима рабочего времени, контроль за получением сотрудниками конфиденциальной информации, контроль за утечкой информации с предприятия (рекламные акции, конференции и пр.). Для этих целей используются; посты охраны, электронные и кодовые замки, система внутреннего видеонаблюдения, компьютерные системы контроля доступа, журналы (табеля) выдачи секретных документов и пр.
    Стандартно режимные мероприятия используются для создания постоянных и временных мер безопасности в пассивном режиме.
    Плюсом режимных мероприятий является относительная
    их дешевизна (по сравнению с техническими). Они способны с большей гарантией защитить информационные каналы. С другой стороны, хорошее функционирование режимных мероприятий возможно только при отличной специальной подготовке сотрудников охраны. Учитывая проблемы в кадро
    вом обеспечении современной негосударственной безопасности, организация режимных мероприятий может стать фикцией при недостаточной подготовке сотрудников.
    Специальные мероприятия связаны с контролем за «благонадежностью» собственных сотрудников, особенно допущенных к конфиденциальной информации. Контролирующие мероприятия на практике включают в себя проведение прослушивания телефонных переговоров и устных бесед, контроль круга знакомств, контроль расходов и пр. Необходимо отметить, что часть таких мероприятий могут осуществлять лица, имеющие статус частного детектива. При приеме на работу кандидат должен подписать расписку о возможности подобного контроля над собой. Некоторые же мероприятия (например, прослушивание) являются незаконными и применены быть не могут.
  • СПОСОБЫ ПОЛУЧЕНИЯ ИНФОРМАЦИИ

    Как уже упоминалось выше, выделяют открытые, агентурные и технические способы получения конфидента.
    Под открытыми способами, получения информации понимают варианты работы с открытыми (общедоступными источниками). Подразумеваются рекламные статьи и иные материалы, пресс-релизы, пресс-конференции, выставки, презентации, форумы и пр. Как правило, на подобных мероприятиях (и при печати рекламных материалов) предприятию прихо
    дится сбрасывать большой массив информации. С другой стороны, зная засекреченную информацию, руководство будет следить за «сваливанием» только нережимных материалов. Оппоненту достаточно понять круг намеренно скрываемых материалов и предположить их содержимое. А это уже дело достаточно несложной аналитической техники.
    Учитывая вышесказанное, при подготовке рекламных акций информационной службе следует ограничить несколько кругов открываемой информации (создать несколько каскадов закрытия). Первый круг является общедоступным. Информацию из второго круга разрешается давать потенциальным клиентам для перспектив завязывания сотрудничества. Информацию из третьего круга можно давать в редких случаях по категорическим требованиям партнеров и коллег. Но информация всех трех кругов не является закрытой. Потенциальному оппоненту практически невозможно будет преодолеть все три (а может быть, и больше) каскада закрытия и овладеть конфидентом. Примерно такая же схема дозирования информации применяется при отработке телефонных и иных устных переговоров сотрудников с потенциальными клиентами. Таким образом, пресекается вероятное неумышленное разглашение конфиденциальной информации.
    Под агентурными способами получения информации понимают разведывательный опрос, вербовку сотрудников и внедрение «крота».
    Разведывательный опрос производится под легендой клиента, журналиста и т. п. для получения расширенной информации о предприятии, т. е. попытка вывода сотрудников предприятия на неумышленное разглашение информации. Противодействие — знание сотрудниками объема- разглашаемой информации.
    Вербовка сотрудников производится как для получения информации о предприятии (информаторы), так и для воздействия при помощи агента на политику объекта (агенты влияния). Информаторов обычно подбирают из числа технических работников (операторы технических линий, секретари, уборщицы и пр.). Для получения агентов влияния наиболее перспективным является среднее руководящее звено, когда своего человека со временем можно продвигать выше.
    При вербовке человека существует три основных мотива:
    материальный, «идейный», шантаж. Материальный мотив используется наиболее часто и позволяет проводить достаточно быструю разработку кандидата. На материальном мотиве обычно работают информаторы. «Идейный» мотив предусматривает работу на оппонента ввиду личных неприязненных отношений с коллегами и руководством, обид на руководство, повышенного карьеризма, симпатии к вербовщику и т. д. Именно среди «идейных» агентов в основном работают агенты влияния. Шантаж используется достаточно редко и, в основном, лишь для одномоментного получения материалов. Шантажируемый агент не имеет серьезных стимулов для работы на оппонента и, соответственно, не может использоваться для длительной разработки.
    Различают работу с агентурой «втемную» и «в открытую». Работа «в открытую» предусматривает знание агентом ситуации: понимание ситуации вербовки и целей вербовки, достоверное знание о передаче конфиденциальных материалов и пр. Работа «втемную» предусматривает работу агентуры без понимания ситуации. Агент не предполагает вербовки и передачи конфидента. Типичный пример такой работы: вербовка секретаря секретоносителя на мотивах взаимной личной симпатии — классика агентурной разведки!
    «Внедренка» предусматривает внедрение своего человека на разрабатываемое предприятие на должность обычно технического работника под легендой. С одной стороны, это наиболее удобный вариант, когда «крот» прекрасно знает ваши требования к информации и направления интереса. С другой стороны, необходимо подготовить достаточно прочную легенду и надежные варианты связи, чтобы кадровые службы и СВ оппонента не смогли расшифровать вашего источника.
    Технические способы получения конфидента являются вариантами использования для получения информации технических средств разведки. Возможно внутреннее прослушивание помещений, прослушивание помещений через окна и стены, использование направленных микрофонов, снятие информации со всех средств связи и пассивных носителей информации.
    Резюмируя вышесказанное, можно заметить, что открытые способы получения информации реализуются через разглашение, агентурные — через разглашение и НСД, технические — через утечку и НСД.
  • НОСИТЕЛИ ИНФОРМАЦИИ

    Носители информации делятся на три основных типа: активные, полуактивные и пассивные.
    Активные носители — это носители, осуществляющие хранение и передачу информации, т. е. живые люди. Основной представитель активных носителей — персонал предприятия. Также в категорию активных носителей попадают лица, которым информация стала известна в результате ее утечки или разглашения.
    Основная угроза — утечка информации в виде хищения, копирования или разглашения. Доступ к информации может быть санкционированным (когда источник утечки имеет право пользования данной информацией) и несанкционированным.
    Для классификации активных носителей используется трехступенчатая шкала: носители категории 10, 1 и 0.
    Носителем категории 10 считается лицо, достоверно владеющее информацией: работники, готовящие информацию в конечном виде (секретарь-машинистка, аналитик), получатели.
    Носителем категории 1 считается лицо, достоверно информацией не владеющее, но которое может стать носителем информации в силу выполнения служебных обязанностей:
    работники, подготавливающие информацию на начальном этапе, передаточные звенья (секретариат), подсобные работники (уборщица).
    Носителем категории О считается лицо, которое не владеет информацией и не может получить к ней доступ.
    Имея какой-либо массив (определение массивов информации дано далее) конфиденциальной информации, необходимо определить потенциальные каналы утечки. Для этого по каждому из массивов готовится «карта доступа», где описываются (пофамильно) потенциальные источники утечки категорий 10 и 1.
    При этом из списка потенциальных источников утечки обычно исключаются Генеральный директор или учредитель (учредители) предприятия и начальник Службы безопасности. Это связано с тем, что директор волен самостоятельно распоряжаться информацией, а разработка начальника СБ может быть проблематичным и малоперспективным делом.
    Работа по контролю над активными носителями ведется по двум каналам: профилактическая работа и поиск канала утечки.
    Профилактическая работа ведется постоянно. Занимается этим подразделение Активных мероприятий, или детективная служба. Во-первых, собираются данные о служебной деятельности, крупных покупках и пр. носителя. Данные анализируются и заносятся в личное дело сотрудника. Благодаря этой информации можно с достаточной правдоподобностью судить о степени надежности носителя. При резком изменении «картины носителя» можно сделать вывод о переквалификации его в канал утечки информации. Кроме этого проводится выборочный контроль над сотрудниками силами оперативно-технических мероприятий. Также необходимо вести постоянную профилактическую работу с персоналом предприятия, ознакомляя его с методами получения информации, правилами внутреннего распорядка, методами обнаружения разведывательного подхода.
    При этом необходимо учесть: чтобы не вступать в противоречие со ст. 137 УК РФ, при поступлении на работу у сотрудника необходимо отобрать расписку или включить в контракт пункт, в котором сотрудник разрешает контролирующую разработку себя. На основании такой расписки и ст. 5 Закона РФ «О частной детективной и охранной деятельности» детективные службы могут вести оперативную разработку объекта.
    Поиск канала утечки информации начинается с вывода аналитических служб об утечке информации. Необходимо определить, какая конкретно информация стала известна «холоду» (СМ. Сноску 1) , как и когда она могла быть получена. Такие выводы
    -------
    Сноска 1. «Холод» — недоброжелательное внешнее окружение (сленг.).
    ---------
    обычно делает аналитическая служба. После этого определяется, кто мог стать источником утечки, и проводится разработка нескольких подозреваемых, в отношении одного из которых и оправдываются подозрения.
    Для успешной работы с выявленным «кротом» необходимо у работников, допущенных к конфиденту, заранее отобрать расписки о том, что они знают, какая информация является конфиденциальной и как оформляется документация, содержащая конфиденциальную информацию. На основании таких расписок и выводов следствия (как внутреннего, так и внешнего) возможно гражданское или уголовное преследование нарушителя в соответствии со ст. 183 УК РФ. Без такой расписки подозреваемый (обвиняемый) может мотивировать утечку информации незнанием того, что информация являлась секретной.
    Отсутствие работы Службы безопасности предприятия с собственными активными носителями не позволяет контролировать информацию и делает доступ к ней достаточно несложным даже без применения «крутых» метод разведывательной работы. Контроль над активными носителями хотя и достаточно трудоемкий, но позволяет с достаточной надежностью пресекать утечку информации. Тем более, что получение информации от активных носителей считается наиболее результативным в современной разведпрактике.
    Полуактивными, называются носители, по которым осуществляется только передача информации. Такими носителями являются средства коммуникации: эфир, электротехнические коммуникации.
    Основная угроза: съем информации путем несанкционированного доступа. Информация при передаче может быть скопирована или перехвачена.
    Через эфир передаются радио-, сотовые и пейджинговые сообщения. Существуют соответствующие приборы, позволяющие достаточно легко «поймать» нужную волну. Таким образом,-получение и расшифровка радиосообщений (даже сотовых формата JSM) — дело достаточно несложное при наличии необходимого технического оснащения. Кроме того, возможно получать информацию на предприятиях-провайдерах путем оперативно-агентурной работы или при официальном запросе правоохранительных органов.
    По электротехническим коммуникациям передаются телефонные переговоры, факсимильные сообщения, компьютерная почта. Подключение к электротехническим коммуникациям не требует «крутого» оборудования и может проводиться
    при помощи «технаря» невысокого класса. Кроме этого, опять же возможно снятие информации при помощи предприятия-провайдера.
    Полуактивные носители характеризуются тем, что полная или даже частичная их защита практически невозможна. Единственным достаточно надежным способом защиты является шифрование компьютерных и факсимильных сообщений и использование шифраторов (скрэмблеров) для защиты телефонных переговоров. Основным минусом шифрования является защита только основных (обычно не более 3-5) линий связи. Кроме того, телефонные шифраторы требуют лицензирования в ФАПСИ, а программы шифрования с достаточно надежным ключом запрещены к использованию. Меньшая длина ключа позволяет злоумышленнику расшифровывать сообщения (естественно, в случае наличия грамотных сотрудников и хорошей техники).
    Хорошими методами защиты могут стать режимные мероприятия и обусловленный шифр. Сотрудники знакомятся с той информацией, которую можно передавать по линиям связи в обычном режиме, и с той, что требует специальной передачи (сложное шифрование, курьер). Это позволяет уменьшить опасность использования сотрудников «втемную» и приучает последних к нормам культуры безопасности. Обусловленный шифр применяется для работы с постоянным контактом. Для этого используется двойной-тройной пласт беседы и кодирование времени и даты контакта (например, отнимание условного числа от оговоренного времени встречи, различный порядок слов в фразах и их интонация и пр.).
    Техническое противодействие утечке информации с полуактивных носителей работает только против непрофессиональных методов подключения. Бесконтактное подключение, перехват эфира, подключение после второго коммутатора, утечку информации с предприятия-провайдера или АТС не способны обнаружить никакие приборы. Проверке подлежат коммуникации предприятия от опасности непрофессионального подключения. Поверить коммуникации вне пределов предприятия практически невозможно.
    Кроме того, возможно получение информации через эфир при использовании направленного микрофона (акустического или лазерного) и сигнала радиозакладки. Для противодействия этому необходима регулярная радиотехническая зачистка основных помещений, использование генераторов акустических и ультразвуковых шумов, зачистка прилегаю
    щей территории на наличие принимающей (магнитофоны на чердаках, в подвалах прилегающих зданий, подолгу стоящие автомобили) и усиливающей (усилители в урнах, кустарниках, чердаках и подвалах на прилегающей территории) аппаратуры.
    Пассивными называются носители, на которых осуществляется только накопление и хранение информации. К таким носителям относятся картотеки (архивы) и цифровые базы данных.
    Основные угрозы: копирование, модификация (порча) и уничтожение информации. Получение информации каналом утечки может быть санкционированным (лицо имеет право получения информации) и несанкционированным. В первом случае происходит утечка через активный носитель (см. выше).
    Организация системы безопасности этих носителей будет разобрана далее. Но хочется отметить, что защита пассивных носителей не требует высоких материальных затрат и большого количества технических средств безопасности. Грамотное построение системы защиты, особенно режимными методами, позволяет практически исключить несанкционированный доступ к носителям и, соответственно, утечку (порчу, уничтожение) информации.
  • ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

    Техническими называются меры и мероприятия, направленные на предотвращение утечки и определение средств негласного получения конфиденциальной информации с помощью технических средств.
    К техническим средствам пассивного типа относят: устройства зашумления линий, генераторы «белого» и «розового» шума, аппаратно-программные комплексы и приборы, предназначенные для постоянного контроля над обстановкой на объекте. Надо упомянуть, что многие технические средства пассивного типа могут вызывать проблемы в функционировании предприятия. Так, генераторы шумов соответствующей мощности «гасят» не только переговоры и/или сигнал от радиозакладки, но и всю связь, теле- и радиовещание на здание и зачастую компьютерную и другую электронную технику.
    К техническим средствам активного типа относят: средства для обнаружения ТехКУКИ (СМ. Сноску 1) (телефонные анализаторы, сканирующие приемники, детекторы поля, частотомеры), средства подавления радиозакладок, аппаратно-программные комплексы обнаружения технических каналов утечки информации. Необходимо учесть, что даже современные технические средства активного типа не позволяют обнаружить квалифи
    -------
    Сноска 1. ТехКУКИ — технические каналы утечки конфиденциальной информации.
    ----------
    цированный съем информации с полуактивных носителей. Это следует учитывать при планировании системы безопасности.
    Надо заметить, что технические средства защиты информации довольно дороги. А сложные аппаратно-программные комплексы очень дороги. Кроме того, возникают проблемы их использования, описанные выше. Все это не позволяет широко внедрять технические средства защиты в современных условиях. Но тем не менее для построения надежной системы защиты информации эти средства необходимы.
  • Образец

    Расписка

    об ознакомлении с Инструкцией о работе с конфиденциальной информацией


    Я, нижеподписавшийся, ознакомился с инструкцией предприятия о работе с документами и материалами, являющимися конфиденциальной информацией предприятия вообще и коммерческой тайной в частности.
    Я подтверждаю свое знание:
    а) режима и порядка работы с секретными документами и материалами.
    б) оформления секретных документов и материалов.
  • Примечание: В расписке обязательно должны быть подпись лица, дающего подписку, и подписи двух свидетелей (с указанием дат постановки подписей).
    Подписи скрепляются печатью предприятия. После подписи лица, дающего подписку, необходима полная расшифровка фамилии, имени и отчества, полные паспортные данные и дата оформления расписки.
    Другой правовой метод защиты конфидента — оформление патентов и авторских прав.

  • Патент — это документ, который защищает право на изобретение.
    Можно патентовать определенные устройства, способы, вещества. Недостаток патента: с момента подачи заявки 'на патент информация открывается. Чтобы получить патент, требуются определенные финансовые затраты.

    Авторское право в чем-то удобно, но при его получении есть некоторые ограничения. Так, авторское право может выдаваться только физическому лицу, а не организации. Можно получить авторское право на: теле-, видеофильмы, передачи, печатные издания, программы для ЭВМ. Получение авторского права несложно. Для использования материалов, на которые оформлено авторское право, необходимо согласие автора.
    Требования к конфиденциальной информации:
    • Информация не должна быть общеизвестной или доступной на законном основании.
    • Не должна являться государственной тайной.
    • Должна быть зафиксирована в натуральней форме и находиться исключительно во владении предприятия.
    • Должна быть специально отмечена (грифована).
    Возможный перечень конфиденциальной информации:
    1) сведения о кадрах, расположении объекта, производственных возможностях;
    2) сведения о перспективных методах управления;
    3) плавы и аналитические разработки;
    4) информация о рыночной стратегии предприятия;
    б) данные о партнерах и контрактах с ними;
    6) источники финансирования, финансовые связи и объемы производства;
    7) сведения о ведении переговоров;
    8) ценовая политика;
    9) изобретения и технологии;
    10) протоколы внутренних совещаний;
    11) характеризующая информация о сотрудниках;
    12) информация о режиме работы предприятия;
  • {module[209]