4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 28
Текст из файла (страница 28)
• неправильная организация информационно-справочного аппарата;
• несвоевременная подготовка документов к передаче на архивное хранение;
• нарушение требований, предъявляемых к порядку уничтожения конфиденциальных документов.
В организациях ведется патентно-лицензионная, изобретательская и рационализаторская работа, связанная с правовой охраной изобретений, оформляемых в установленном порядке, с оказанием помощи авторам в оформлении, регистрации и защите их прав на результаты интеллектуальной деятельности. В процессе этой работы, как показывает выборочный анализ документов в организациях, имеют место случаи, когда руководство в обход патентного подразделения (патентоведа) направляет на исполнение документы в иные структурные подразделения, не имеющие права решения патентно-лицензионных вопросов с внешними организациями.
Анализ таких ситуаций показывает, что нарушениями режима КЗИ, ведущими к возможной утечке охраняемой информации, в данном случае могут быть, во-первых, несоблюдение порядка оформления материалов на предполагаемые изобретения; во-вторых, расширение круга лиц, которые знакомятся с первичной информацией, связанной с подготовкой заявок на изобретения; в-третьих, самостоятельная переписка подразделений без ведома патентного подразделения и принятие решений по вопросам патентно-лицензионной работы.
Третья группа ВКУ КЗИ включает нарушения, которые возникают в процессе производственной и хозяйственной деятельности организации. Условно эту группу можно обозначить как «материальные потоки» объекта.
Материальные потоки в виде изделий, комплектующих деталей, готовых товаров и иных материальных ценностей обеспечивают решение основных задач, стоящих перед организациями. Например, решение производственных, научных и хозяйственных задач связано с транспортировкой конфиденциальных изделий и документов. Информационное обеспечение НИОКР предполагает регулярный обмен КЗИ между разработчиками и соисполнителями, что связано с обращением охраняемой информации и доставкой ее в виде документов с использованием различных видов связи (направление почтой, телеграфом, доставка писем нарочным порядком и др.).
Опрос работников ряда организаций показывает, что 3% из числа опрошенных считают нарушения, допускаемые при транспортировке грузов и почты, возможными каналами утечки КЗИ. Надежное сопровождение и охрана изделий, содержащих КЗИ, при их транспортировке за пределами охраняемой территории организации, причем порой на значительные расстояния, является важнейшей задачей администрации. Закон о коммерческой тайне не регулирует процедуру обращения изделий и документов, составляющих КЗИ. Поэтому работа ведется в организациях на основании норм ГК РФ, регулирующих перевозку и хранение с учетом необходимости охраны КЗИ. Условия охраны КЗИ в период транспортировки изделий и документов согласовываются сторонами в договоре. Непосредственные меры по охране КЗИ осуществляются организациями-контрагентами в соответствии с принятым у них порядком, урегулированным корпоративными актами. Как показывают данные проведенного опроса, работники, обеспечивающие движение материальных ценностей и документов, содержащих КЗИ, в 52% случаев ознакомлены с требованиями корпоративных актов по охране КЗИ, в 37% случаев — были устно ознакомлены в общих чертах либо не ознакомлены.
В качестве примера рассмотрим ситуацию, связанную с обеспечением КЗИ, которая одно время наблюдалась в наиболее конкурентоспособной отрасли экономики — авиационной промышленности. Одним из уязвимых участков сохранения конфиденциальности информации о результатах НИОКР является подготовка и проведение летных испытаний опытных образцов изделия. Анализ имеющихся данных показал, в частности, что сложилась определенная правоприменительная практика, когда при вылете самолетов с установленными на них изделиями, в местах проведения испытаний, выписываются товарно-транспортные накладные, которые предварительно направляются на испытательные полигоны с указанием грифа конфиденциальности информации об изделиях. По прибытии самолета на полигон работники службы безопасности проверяют наличие на нем изделий и соответствие их сопроводительной документации. Изделия учитываются и хранятся на товарном складе в соответствии со ст. 913 ГК РФ, договором между организациями на проведение испытаний с соблюдением порядка, устанавливаемого корпоративными нормами.
При проведении летных испытаний ответственность за сохранность испытываемых изделий возлагается в зависимости от нахождения летательного аппарата в воздухе или на земле соответственно на бортинженера или бортмеханика.
В целях предотвращения вылетов самолетов с изделиями на другие аэродромы без оформления соответствующих товарораспорядительных документов СБ осуществляет визирование карточек готовности летательного аппарата к вылету.
Самолеты, на которых установлены испытываемые изделия, находящиеся постоянно или временно на стоянках аэродромов войсковых частей Министерства обороны РФ и других ведомств, сдаются под войсковую охрану. Обязанности по передаче самолета под охрану возложены на командира корабля. На стоянках летательные аппараты оборудованы противоугонными устройствами, исключающими несанкционированные запуски авиадвигателей, причем эти средства приводятся в рабочее состояние независимо от времени суток. При вынужденных посадках самолета командир корабля организовывает его охрану до прибытия воинского подразделения силами экипажа.
На предприятиях, эксплуатирующих летательные аппараты, создается из числа штатных работников группа уполномоченных лиц службы безопасности по работе с изделиями. С уполномоченными регулярно проводятся занятия по изучению требований режима конфиденциальности и выявлению ВКУ КЗИ при испытании изделий. Нарушения установленного порядка учета, хранения и движения изделий открывают пути для возможной утечки КЗИ.
Порядок транспортировки почты регламентирован внутренними корпоративными актами организаций. При его нарушении появляются возможности утечки охраняемой информации. Чаще всего нарушения проявляются при доставке работниками-исполнителями почты на личном транспорте, без вооруженного сопровождения охраны, а также в несогласовании со СБ маршрутов движения транспорта, на котором осуществляется доставка почты и изделий.
Четвертая группа ВКУ КЗИ— это технические каналы, обусловливающие возможность утечки такой информации. К техническим каналам утечки конфиденциальной информации относятся каналы, возникающие вследствие использования конкурентами портативных технических средств, которые могут устанавливаться непосредственно в служебных помещениях или вблизи расположения объектов организации.
Портативные технические средства конкурентной разведки позволяют решать проблему сбора КЗИ. Это достигается, во-первых, путем фиксации за магнитный или иной носитель разговоров, служебных совещаний, коммерческих переговоров по заключению торговых договоров, по каналам местной и городской телефонной связи; во-вторых, путем визуального наблюдения и фотографирования из соседних зданий передвижения контролируемых грузов, а также документов, содержащих КЗИ, с которыми работают исполнители в рабочих комнатах. Нужно отметить, что по данным, опубликованным в печати, можно судить о достаточно высоких тактико-технических характеристиках портативных средств, используемых конкурентной разведкой1. Речь идет о том, что портативные средства обладают высокой чувствительностью и разрешающей способностью, обеспечивают ведение конкурентной разведки на значительных расстояниях от разведываемых объектов. Важно отметить и возможность скрытого использования портативных средств конкурентной разведки, которые могут камуфлироваться под различные предметы повседневного обихода. В частности, могут быть замаскированы в автомашинах, в одежде и на переносимых человеком ггоелметах
(портфель, сумка и т.д.). К техническим каналам утечки КЗИ относятся также технические средства передачи информации, включающие ЭВМ, АСУ, системы звукозаписи и другие средства, участвующие в обработке, хранении и передаче КЗИ.
Анализ материалов практики защиты конфиденциальной информации, проведенный в ряде акционированных предприятий промышленности, позволяет выделить наиболее опасные с точки зрения возникновения ВКУ КЗИ направления их деятельности. Речь идет прежде всего об остаточных излучениях радио, электромагнитных и о других излучениях, которые являются опасными демаскирующими признаками любого объекта. Они проникают за периметр предприятия или установленной охраняемой зоны без участия человека и дают привязку к месту и времени проведения работ, при выполнении которых используются охраняемые параметры. Характерными в качестве примера могут быть рассмотрены излучения, образующиеся при проведении летных испытаний радиоэлектронных средств (РЭС) и при выполнении вычислительных работ на объектах электронно-вычислительной техники (ЭВТ), имеющие различные технические характеристики. Рассмотрим в этой связи отдельно каналы возможной утечки информации при проведении летных испытаний РЭС и вычислительных работ на ЭВМ.
Специалистами установлено, что одним из наиболее опасных этапов разработки радиоэлектронных средств с точки зрения возможности получения конкурентными разведками охраняемых параметров является этап проведения испытаний, в том числе летных испытаний РЭС, когда производится излучение в открытое пространство сигналов большой мощности. Практика показывает, чтобы уменьшить опасность утечки охраняемой информации при проведении летных испытаний РЭС, следует соблюдать ряд мер организационно-правового характера. Во-первых, резко сократить время проведения летных испытаний РЭС, что приведет к уменьшению вероятности обнаружения средствами конкурирующих разведок. Во-вторых, уменьшить зону обнаружения охраняемых параметров средствами ведения разведки за счет изменения пилотажно-навигационных параметров при проведении летных испытаний РЭС. В-третьих, проводить летные испытания РЭС с измененными по отношению к охраняемым параметрами.) Названные выше рекомендации следует отражать в должностных инструкциях исполнителей.
При проведении летных испытаний наземных РЭС наиболее вероятными каналами утечки охраняемых сведений являются открытые телеметрические каналы передачи информации «борт-земля». Результаты проведенного исследования позволяют сделать вывод о том, что отсутствие на летающих лабораториях аппаратуры автоматического засекречивания гарантированной криптостойкости и игнорирование разработчиками РЭС типовых кодовых переговорных таблиц при передаче телеметрической информации увеличивают опасность утечки охраняемой информации.
В процессе наземной отработки и летных испытаний навигационных РЭС вероятным каналом утечки является излучение с реальными частотно-временными параметрами модуляции. При наземной отработке самолетных РЭС наиболее характерным каналом утечки охраняемых параметров является повышенный уровень остаточного излучения за счет низкого экранирующего качества антенных эквивалентов.
Защита РЭС при проведении летных испытаний от конкурентной разведки осуществляется специально проводимыми техническими и организационными мероприятиями, изучение которых является предметом самостоятельного исследования. Однако необходимо отметить, что техническая утечка информации чаще всего происходит в силу действия субъективного фактора, а именно невыполнения или ненадлежащего выполнения работниками-исполнителями требований по обеспечению режима конфиденциальности КЗИ при проведении работ, которые носят организационно-правовой характер.
Производство вычислительных работ на ЭВМ является вторым наиболее опасным направлением деятельности организации с тон-ки зрения возможности образования технических каналов утечки КЗИ.
Анализ, проведенный на ряде промышленных объектов, показывает примерное распределение видов вычислительных работ. В частности, в крупной организации более 40 работ были связаны с решением задач по НИОКР, 20 работ — с математическим и полунатурным моделированием, 10 работ — с автоматизированной обработкой эгапериментальных данных и моделированием. Отдельные темы были связаны с обработкой показателей надежь ности РЭС и решением задач АСУ. Такое распределение работ свидетельствует о специфике деятельности организации. Изучение нарушений режима конфиденциальности в вычислительном центре позволило выделить три относительно самостоятельные группы потенциальных каналов утечки информации и несанкционированного доступа к ней. (
Во-первых, это группа «косвенных каналов», которые позволяют осуществлять несанкционированный доступ к информации без физического доступа к элементам вычислительного центра (ВЦ). Сюда следует относить: перехват электромагнитных излучений, а также сигналов в цепях питания, линиях связи, сигнализации и т.д.; дистанционное наблюдение или фотографирование при вводе и выводе информации через дисплей и печатающее устройство; применение подслушивающих устройств, опасность которых возрастает по мере внедрения приборов и методов прямого диалога с ЭВМ.
Во-вторых, это группа каналов, связанных с доступом к элементам ВЦ, не требующих умышленного изменения их режима работы. Речь идет о преднамеренном использовании для доступа к информации терминалов, зарегистрированных пользователей, о маскировке под зарегистрированного пользователя путем хищения паролей и других реквизитов разграничения доступа к информации, используемых в ВЦ, о чтении остаточной информации, т.е. данных, остающихся в запоминающих устройствах после выполнения программы решения задачи, о копировании носителей информации и использовании недостатков программного системного обеспечения ВЦ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
