Выявление возможных каналов утечки конфиденциальных сведений

Одной из основных задач службы безопасности является профилактика угрозы утечки сведений, содержащих коммерческую тайну.

В этой связи служба безопасности должна добывать информацию о характере устремлений субъектов угроз к фирме, компании, организации и их сотрудникам, а также о степени осведомленности криминальных элементов, конкурентов и иных юридических и физических лиц о предприятии.

Структура информационных систем:

1) пользователи;

2) информационные ресурсы:

• документы
• массивы документов в разных формах и видах (библиотеки, архивы, фонды, базы данных);

3) носители информации:

• на бумажной основе;
• звуконосители;
• фотоносители;
• видеоносители;
• магнитные носители;
• специальные технические носители;

4) средства сбора, хранения и обработки информации:

• традиционные технические средства (телефон; радио, звукоусилительные системы, полиграфия);
• автоматизированные системы сбора и обработки информации;

5) каналы передачи информации:

• проводные;
• радио;
• волоконно-оптические.

С учетом зарубежного и отечественного опыта в настоящее время сложилась трехстадийная процедура по разработке мер защиты информационных систем.

Первая стадия (разработка требований).

Она включает в себя:

• определение состава средств информационной системы;
• анализ уязвимых мест системы;
• анализ угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых мест);
• анализ рисков (прогнозирование возможных последствий, которые могут вызвать эти проблемы).

Вторая стадия (определение способов защиты).

Эта стадия включает в себя ответы на следующие вопросы:

• Какие угрозы должны быть устранены и в какой мере?
• Какие ресурсы системы должны быть защищены и в какой степени?
• С помощью каких средств должна быть реализована защита?
• Какова должна быть полная стоимость реализации защиты и затраты на ее эксплуатацию с учетом потенциальных угроз.

Третья стадия (определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.

Оценка возможных каналов утечки информации

Возможными каналами утечки конфиденциальной информации могут быть:

1) устные сообщения сотрудников фирмы, компании, организации в официальной обстановке, в местах проживания и отдыха, в транспорте;

2) официальные публикации средств массовой информации;

3) преднамеренное и непреднамеренное разглашение сведений партнерами, клиентами, смежниками, поставщиками сырья и т.д.;

4) телефонная связь, где могут использоваться:

• телефонные радиозакладки в телефонные розетки;
• контактное подключение к линии двумя иглами в два провода;
• контактное подключение к линии путем обжатия провода;

5) аудиозапись посредством применения магнитофонов и диктофонов (камуфлируются под ручки, значки, заколки);

6) видеозапись посредством применения портативных камер, передатчиков, приемников, мониторов и блоков питания, монтируемых в кейсы;

7) вибрационный канал, возникающий при:

• инфракрасном облучении стекла окна кабинета первого лица лазерным лучом с расстояния от 15 до 120 метров. При этом следует иметь ввиду, что при наличии двойного стекла инфракрасное облучение неэффективно, а использование лазерного луча в отношении одного стекла с указанного расстояния позволяет снять 60–65% информации;
• применении стетоскопов, прикрепляемых пластилином к внешней стороне панели толщиной до 65 см., радиаторам, навесным потолкам;

8) электросеть с использованием портативных диктофонов, закладываемых в электророзетки;

9) передача информации по радиоканалам с применением жучков, которые камуфлируются под электролампочки, сувениры, папки, светильники, калькуляторы, бруски, удлинители и т.д.;

10) снятие информации с персональных ЭВМ за счет установки радиозакладок, по цепям заземления и т.д.

11) выявление и проверка сотрудников банка, фирмы, подозреваемых в работе на криминальные элементы или конкурентов;

12) предупредительно-профилактическое воздействие на сотрудников, нарушивших установленные на предприятии режимы, через конфиденциальные связи;

13) обеспечение безопасности руководителей, ведущих специалистов и рядовых сотрудников фирмы, компании, организации, выезжающих за рубеж. Оно должно быть направлено на:

• предотвращение привлечения их к сотрудничеству иностранными специальными службами;
• недопущение их дискредитации (до выезда за рубеж сотрудники, фирмы, компании, организации должны пройти правовую, страноведческую и психологическую подготовку);

14) проникновение к конкурентам.

Источники утечки информации

К источникам утечки информации относятся:

• сотрудники банка, фирмы, особенно те, которые увольняются;
• продавцы, занимающиеся сбытом продукции;
• поставщики и контрагенты;
• посетители фирмы, компании, организации;
• государственные органы, контролирующие или обеспечивающие деятельность банка, фирмы;
• технические средства, каналы связи и иные средства передачи информации, задействованные в банке, фирме.

Главный источник и канал утечки информации фирмы, компании, организации – это их персонал. Поэтому службы безопасности главное внимание по обеспечению сохранности коммерческой тайны должны уделять выявлению и перекрытию данного источника и канала утечки информации посредством:

• заключения контрактов и проведения бесед о неразглашении коммерческой тайны с принимаемыми на работу сотрудниками банка, фирмы;
• обучения персонала приемам работы по сохранности коммерческой тайны согласно положениям разработанной службой безопасности банка, фирмы инструкции по обеспечению сохранности коммерческой тайны. После зачисления сотрудников в штат банка, фирмы до них доводятся положения данной инструкции в части, касающейся прежде всего их обязанностей при работе с коммерческой тайной.