Северин В.А. - КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ (1184126), страница 28
Текст из файла (страница 28)
В процессе наземной отработки и летных испытаний навигационных РЭС вероятным каналом утечки является излучение с реальными частотно-временными параметрами модуляции. При наземной отработке самолетных РЭС наиболее характерным каналом утечки охраняемых параметров является повышенный уровень остаточного излучения за счет низкого экранирующего качества антенных эквивалентов.
Защита РЭС при проведении летных испытаний от конкурентной разведки осуществляется специально проводимыми техническими и организационными мероприятиями, изучение которых является предметом самостоятельного исследования. Однако необходимо отметить, что техническая утечка информации чаще всего происходит в силу действия субъективного фактора, а именно невыполнения или ненадлежащего выполнения работниками-исполнителями требований по обеспечению режима конфиденциальности КЗИ при проведении работ, которые носят организационно-правовой характер.
Производство вычислительных работ на ЭВМ является вторым наиболее опасным направлением деятельности организации с тон-ки зрения возможности образования технических каналов утечки КЗИ.
Анализ, проведенный на ряде промышленных объектов, показывает примерное распределение видов вычислительных работ. В частности, в крупной организации более 40 работ были связаны с решением задач по НИОКР, 20 работ — с математическим и полунатурным моделированием, 10 работ — с автоматизированной обработкой эгапериментальных данных и моделированием. Отдельные темы были связаны с обработкой показателей надежь ности РЭС и решением задач АСУ. Такое распределение работ свидетельствует о специфике деятельности организации. Изучение нарушений режима конфиденциальности в вычислительном центре позволило выделить три относительно самостоятельные группы потенциальных каналов утечки информации и несанкционированного доступа к ней. (
Во-первых, это группа «косвенных каналов», которые позволяют осуществлять несанкционированный доступ к информации без физического доступа к элементам вычислительного центра (ВЦ). Сюда следует относить: перехват электромагнитных излучений, а также сигналов в цепях питания, линиях связи, сигнализации и т.д.; дистанционное наблюдение или фотографирование при вводе и выводе информации через дисплей и печатающее устройство; применение подслушивающих устройств, опасность которых возрастает по мере внедрения приборов и методов прямого диалога с ЭВМ.
Во-вторых, это группа каналов, связанных с доступом к элементам ВЦ, не требующих умышленного изменения их режима работы. Речь идет о преднамеренном использовании для доступа к информации терминалов, зарегистрированных пользователей, о маскировке под зарегистрированного пользователя путем хищения паролей и других реквизитов разграничения доступа к информации, используемых в ВЦ, о чтении остаточной информации, т.е. данных, остающихся в запоминающих устройствах после выполнения программы решения задачи, о копировании носителей информации и использовании недостатков программного системного обеспечения ВЦ.
В-третьих, это группа каналов, связанных с доступом к элементам ВЦ, изменением программно-математического обеспечения ВЦ Это может быть подключение к линиям связи под видом законного пользователя, изменение программ, когда наряду с основными функциями обработки информации они способны осуществлять несанкционированный сбор и регистрацию охраняемой информации.
Учитывая тенденцию расширения круга пользователей, имеющих непосредственный доступ к ресурсам информационно-вычислительной системы и находящихся в ней массивам данных, представляющим коммерческую значимость для организации необходимо предпринимать адекватные меры охраны КЗИ. В этой связи важно учитывать данные опроса. Более 11% опрошенных лиц заявили, что использование незащищенных технических средств ЭВТ для передачи, обработки и хранения конфиденциальной информации является возможным каналом утечки охраняемой информации. Из числа всех опрошенных лиц 13% указали, что использование импортных технических средств ЭВТ для передачи, обработки и хранения конфиденциальной информации повышает вероятность утечки охраняемой информации к инофирмам. Конечно, разницы между отечественными и импортными ЭВМ с точки зрения возможностей создания умышленных предпосылок для технической утечки информации не существует. Однако появление в импортных технических средствах различного рода «жучков* и других передающих устройств с учетом развитой на Запале системы промышленного шпионажа представляется более вероятным, чем этого можно ожидать в современный период от отечественных конкурентов. Поэтому при нарушении порядка их использования могут появляться дополнительные возможности утечки ОИ.
Пятая группа возможных каналов утечки КЗИ, которую мы условно обозначаем как «внешние окна»*. Это особая группа информационных каналов о деятельности организаций, позволяющих производить извне обзор внутренней территории или какого-либо помещения визуально или с помощью оптических и иных средств.
Опрос работников ряда организаций показал, что 6% опрошенных указали на наличие демаскирующих признаков объекта как возможный канал утечки ОИ. Под демаскирующими признаками в данном случае понимаются следы производственной и иной деятельности, по которым можно определить возможное использование организацией специально охраняемой ею информации. Об этом может свидетельствовать: дозирование информации о деятельности организаций для средств массовой информации в целях уменьшения степени осведомленности о них конкурентных разведок; специфика территориальной дислокации объектов и их удаленность от воздушных трасс, железнодорожных линий и автодорог для затруднения ведения агентурной и технической разведки; наличие уникальных технических сооружений, запретных зон на подступах к объекту, специальных рубежей войсковой охраны периметра предприятия, пропускного режима н т.д.
Характерными нарушениями режима конфиденциальности КЗИ, способствующими открытию ВКУ через «внешние окна», является несоблюдение мер комплексной зашиты объекта с использованием правовых, организационных, технических и иных средств.
Шестая группа возможных каналов утечки КЗИ обозначена условно нами как «людские потоки». Это одна из главных групп, объединяющая возможности утечки КЗИ, образующейся вследствие деятельности штатных работников и командированных лиц. Данные анализа, проведенного в ряде организаций, подтверждают сложившуюся тенденцию распространенности возможных каналов утечки информации с учетом человеческого фактора.
Указанная группа ВКУ КЗИ распределилась по числу опрошенных лиц следующим образом:
32% опрошенных заявили, что характерным ВКУ охраняемой информации является прием и увольнение работников предприятия;
28% — посещение предприятия командированными лицами; 15% — проведение совещаний по конфиденциальным вопросам;
15% — ведение конфиденциальных работ в рабочих помещениях, не обеспечивающих их надежную охрану;
14% — допуск и доступ к КЗИ обращение с конфиденциальной информацией;
10% — выезд работников за границу;
8% — организация пропускного и внутриобъектового режима; 7% — прохождение практики студентами и стажировки аспирантами;
7% — посещение международных выставок; *
5% — обучение на курсах повышения квалификации;
4% — подготовка приказов и других внутренних корпоративных документов.
Данные опроса в какой-то мере очевидны — их ценность состоит в том, что они рассматриваются нами системно как элементы определенной социальной системы, связанной с человеческим фактором. Из этого следует исходить при характеристике ВКУ КЗИ данной группы.
Прием и увольнение работников организации — наиболее характерный канал утечки КЗИ. Функционирование этого канала обусловлено достаточно частой сменой персонала в организациях (утечка кадров) и нарушениями, которые имеют место при оформлении допуска и доступа лиц к КЗИ* Например, опрос руководителей ряда предприятий показывает, что в среднем ежегодно утечка кадров составляет от 10 до 20% от общего количества работающих. В отдельные годы в связи с ростом инфляции и спадом производства каждый третий работающий вынужден был увольняться в поисках более высокого заработка. Почта половина работников, уволившихся с предприятия, в различной степени были ознакомлены с КЗИ.
Ранее мы уже рассматривали проблемы, связанные оформлением допуска липам к КЗИ. Отсутствие в Законе о коммерческой тайне нормы, регулирующей порядок оформления допуска лиц к КЗИ, ведет к тому, что организации пренебрегают этой процедурой. Результатом этого является доступ к КЗИ лиц, которые по своим деловым и иным качествам не способны надежно охранять доверенные им коммерческие секреты. Оформление допуска — это только первый шаг на пути фактического доступа лиц к КЗИ.
Существенное значение имеют инструктаж лиц, допущенных к КЗИ, их обучение и воспитание, а также периодический контроль уровня знаний. Подход должен быть дифференцированным, в зависимости от категории (разряда) КЗИ, к которой лицо имеет доступ. Опрос работников ряда предприятий показал, что всесторонне ознакомлены с правилами внутреннего трудового распорядка, в которых имелись нормы об охране КЗИ, 79% работников, с инструкцией для работников по обеспечению конфиденциальности КЗИ были ознакомлены 33%. Эти данные свидетельствуют о неудовлетворительной работе администрации по воспитанию и обучению работников, особенно в части охраны КЗИ, когда две трети опрошенных заявили о том, что незнакомы с основным корпоративным актом организации, в том числе и регулирующим отношения по поводу КЗИ.
Не лучшее положение дел обстоит и со знанием работниками специальных корпоративных актов, которые прямо регулируют обращение КЗИ. Так, с положением о разрешительной системе доступа работников-исполнителей к конфиденциальными сведениям, как показал опрос на ряде предприятий были ознакомлены в части, их касающейся, 36% работников, ознакомлены в общих чертах — 35%, не ознакомлены — 17%; с памяткой о юридической ответственности за разглашение коммерческой тайны и утрату документов и изделий, содержащих такую тайну, всесторонне были ознакомлены 58% работников, ознакомлены в общих чертах — 30%, не ознакомлены — 12%. Данные опроса о знании работниками-исполнителями корпоративных актов, регулирующих обращение КЗИ, показывают, что определенная часть из числа опрошенных лиц не знают или плохо знают требования этих корпоративных норм. Это способствует созданию условий для их невыполнения или ненадлежащего выполнения и открывает пути для возникновения утечки КЗИ.
Посещение организаций командированными лицами становится реальным каналом утечки КЗИ в случае нарушения требований корпоративных актов, регулирующих внутриобъектовый и пропускной режимы. Характерными нарушениями режима конфиденциальности КЗИ при приеме командированных лиц являются, во-первых, допуск командированных лиц к КЗИ без оформления соответствующего разрешения при отсутствии командировочного удостоверения, предписания на выполнение служебного задания и договора с организацией. Во-вторых, невыполнение работниками принимающей стороны требований внутриобъектовых инструкций по сопровождению прибывших в подразделения командированных лиц. В-третьих, отсутствие в предписаниях на выполнение служебного задания отметок о решении конкретных производственных вопросов и выдаче представителю другого предприятия необходимого объема КЗИ. В-четвертых, прием командированных лиц с предписаниями на выполнение служебного задания, в которых не указаны основания совместной деятельности организаций (номер и дата договора, технического задания, совместно утвержденного плана по обеспечению конфиденциальности при выполнении НИОКР и др.). В-пятых, допуск командированных лиц к материалам, степень конфиденциальности которых не определена в организации.
В организациях ежегодно с учетом решения конкретных задач проводятся служебные совещания, на которых обсуждаются вопросы, содержащие КЗИ. Порядок их проведения регламентирован корпоративными нормами. Нарушение этого порядка способствует открытию возможных каналов утечки охраняемой КЗИ. На это обстоятельство указали в своих ответах 15% опрошенных ряда организаций.
Наиболее распространенными являются следующие нарушения:
• проведение совещаний в неаттестованных службой безопасности помещениях, без соответствующего разрешения руководителя организации или его заместителей;
• допуск на совещание лиц, не имеющих отношения к обсуждаемым вопросам и участие которых не вызывается служебной необходимостью;
• несоблюдение очередности рассмотрения вопросов конфиденциального характера;
• нарушение требований внутриобъектового режима при проведении совещаний, создающих условия для визуального просмотра помещений, в которых проводятся совещания;
• фотографирование экспонатов и документов, представляемых на совещании, демонстрация конфиденциальных изделий без согласования с СБ;
• звукозапись и видеозапись выступлений участников совещания на носителях, не учтенных в СБ;
• направление материальных носителей (тетрадей, записей и др.) конфиденциального характера в организации и физическим лицам, которых эти сведения непосредственно не касаются;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
