4. Северин В.А. Комплексная защита информации на предприятии (20xx) (1185610), страница 29
Текст из файла (страница 29)
В-третьих, это группа каналов, связанных с доступом к элементам ВЦ, изменением программно-математического обеспечения ВЦ Это может быть подключение к линиям связи под видом законного пользователя, изменение программ, когда наряду с основными функциями обработки информации они способны осуществлять несанкционированный сбор и регистрацию охраняемой информации.
Учитывая тенденцию расширения круга пользователей, имеющих непосредственный доступ к ресурсам информационно-вычислительной системы и находящихся в ней массивам данных, представляющим коммерческую значимость для организации необходимо предпринимать адекватные меры охраны КЗИ. В этой связи важно учитывать данные опроса. Более 11% опрошенных лиц заявили, что использование незащищенных технических средств ЭВТ для передачи, обработки и хранения конфиденциальной информации является возможным каналом утечки охраняемой информации. Из числа всех опрошенных лиц 13% указали, что использование импортных технических средств ЭВТ для передачи, обработки и хранения конфиденциальной информации повышает вероятность утечки охраняемой информации к инофирмам. Конечно, разницы между отечественными и импортными ЭВМ с точки зрения возможностей создания умышленных предпосылок для технической утечки информации не существует. Однако появление в импортных технических средствах различного рода «жучков* и других передающих устройств с учетом развитой на Запале системы промышленного шпионажа представляется более вероятным, чем этого можно ожидать в современный период от отечественных конкурентов. Поэтому при нарушении порядка их использования могут появляться дополнительные возможности утечки ОИ.
Пятая группа возможных каналов утечки КЗИ, которую мы условно обозначаем как «внешние окна»*. Это особая группа информационных каналов о деятельности организаций, позволяющих производить извне обзор внутренней территории или какого-либо помещения визуально или с помощью оптических и иных средств.
Опрос работников ряда организаций показал, что 6% опрошенных указали на наличие демаскирующих признаков объекта как возможный канал утечки ОИ. Под демаскирующими признаками в данном случае понимаются следы производственной и иной деятельности, по которым можно определить возможное использование организацией специально охраняемой ею информации. Об этом может свидетельствовать: дозирование информации о деятельности организаций для средств массовой информации в целях уменьшения степени осведомленности о них конкурентных разведок; специфика территориальной дислокации объектов и их удаленность от воздушных трасс, железнодорожных линий и автодорог для затруднения ведения агентурной и технической разведки; наличие уникальных технических сооружений, запретных зон на подступах к объекту, специальных рубежей войсковой охраны периметра предприятия, пропускного режима н т.д.
Характерными нарушениями режима конфиденциальности КЗИ, способствующими открытию ВКУ через «внешние окна», является несоблюдение мер комплексной зашиты объекта с использованием правовых, организационных, технических и иных средств.
Шестая группа возможных каналов утечки КЗИ обозначена условно нами как «людские потоки». Это одна из главных групп, объединяющая возможности утечки КЗИ, образующейся вследствие деятельности штатных работников и командированных лиц. Данные анализа, проведенного в ряде организаций, подтверждают сложившуюся тенденцию распространенности возможных каналов утечки информации с учетом человеческого фактора.
Указанная группа ВКУ КЗИ распределилась по числу опрошенных лиц следующим образом:
32% опрошенных заявили, что характерным ВКУ охраняемой информации является прием и увольнение работников предприятия;
28% — посещение предприятия командированными лицами; 15% — проведение совещаний по конфиденциальным вопросам;
15% — ведение конфиденциальных работ в рабочих помещениях, не обеспечивающих их надежную охрану;
14% — допуск и доступ к КЗИ обращение с конфиденциальной информацией;
10% — выезд работников за границу;
8% — организация пропускного и внутриобъектового режима; 7% — прохождение практики студентами и стажировки аспирантами;
7% — посещение международных выставок; *
5% — обучение на курсах повышения квалификации;
4% — подготовка приказов и других внутренних корпоративных документов.
Данные опроса в какой-то мере очевидны — их ценность состоит в том, что они рассматриваются нами системно как элементы определенной социальной системы, связанной с человеческим фактором. Из этого следует исходить при характеристике ВКУ КЗИ данной группы.
Прием и увольнение работников организации — наиболее характерный канал утечки КЗИ. Функционирование этого канала обусловлено достаточно частой сменой персонала в организациях (утечка кадров) и нарушениями, которые имеют место при оформлении допуска и доступа лиц к КЗИ* Например, опрос руководителей ряда предприятий показывает, что в среднем ежегодно утечка кадров составляет от 10 до 20% от общего количества работающих. В отдельные годы в связи с ростом инфляции и спадом производства каждый третий работающий вынужден был увольняться в поисках более высокого заработка. Почта половина работников, уволившихся с предприятия, в различной степени были ознакомлены с КЗИ.
Ранее мы уже рассматривали проблемы, связанные оформлением допуска липам к КЗИ. Отсутствие в Законе о коммерческой тайне нормы, регулирующей порядок оформления допуска лиц к КЗИ, ведет к тому, что организации пренебрегают этой процедурой. Результатом этого является доступ к КЗИ лиц, которые по своим деловым и иным качествам не способны надежно охранять доверенные им коммерческие секреты. Оформление допуска — это только первый шаг на пути фактического доступа лиц к КЗИ.
Существенное значение имеют инструктаж лиц, допущенных к КЗИ, их обучение и воспитание, а также периодический контроль уровня знаний. Подход должен быть дифференцированным, в зависимости от категории (разряда) КЗИ, к которой лицо имеет доступ. Опрос работников ряда предприятий показал, что всесторонне ознакомлены с правилами внутреннего трудового распорядка, в которых имелись нормы об охране КЗИ, 79% работников, с инструкцией для работников по обеспечению конфиденциальности КЗИ были ознакомлены 33%. Эти данные свидетельствуют о неудовлетворительной работе администрации по воспитанию и обучению работников, особенно в части охраны КЗИ, когда две трети опрошенных заявили о том, что незнакомы с основным корпоративным актом организации, в том числе и регулирующим отношения по поводу КЗИ.
Не лучшее положение дел обстоит и со знанием работниками специальных корпоративных актов, которые прямо регулируют обращение КЗИ. Так, с положением о разрешительной системе доступа работников-исполнителей к конфиденциальными сведениям, как показал опрос на ряде предприятий были ознакомлены в части, их касающейся, 36% работников, ознакомлены в общих чертах — 35%, не ознакомлены — 17%; с памяткой о юридической ответственности за разглашение коммерческой тайны и утрату документов и изделий, содержащих такую тайну, всесторонне были ознакомлены 58% работников, ознакомлены в общих чертах — 30%, не ознакомлены — 12%. Данные опроса о знании работниками-исполнителями корпоративных актов, регулирующих обращение КЗИ, показывают, что определенная часть из числа опрошенных лиц не знают или плохо знают требования этих корпоративных норм. Это способствует созданию условий для их невыполнения или ненадлежащего выполнения и открывает пути для возникновения утечки КЗИ.
Посещение организаций командированными лицами становится реальным каналом утечки КЗИ в случае нарушения требований корпоративных актов, регулирующих внутриобъектовый и пропускной режимы. Характерными нарушениями режима конфиденциальности КЗИ при приеме командированных лиц являются, во-первых, допуск командированных лиц к КЗИ без оформления соответствующего разрешения при отсутствии командировочного удостоверения, предписания на выполнение служебного задания и договора с организацией. Во-вторых, невыполнение работниками принимающей стороны требований внутриобъектовых инструкций по сопровождению прибывших в подразделения командированных лиц. В-третьих, отсутствие в предписаниях на выполнение служебного задания отметок о решении конкретных производственных вопросов и выдаче представителю другого предприятия необходимого объема КЗИ. В-четвертых, прием командированных лиц с предписаниями на выполнение служебного задания, в которых не указаны основания совместной деятельности организаций (номер и дата договора, технического задания, совместно утвержденного плана по обеспечению конфиденциальности при выполнении НИОКР и др.). В-пятых, допуск командированных лиц к материалам, степень конфиденциальности которых не определена в организации.
В организациях ежегодно с учетом решения конкретных задач проводятся служебные совещания, на которых обсуждаются вопросы, содержащие КЗИ. Порядок их проведения регламентирован корпоративными нормами. Нарушение этого порядка способствует открытию возможных каналов утечки охраняемой КЗИ. На это обстоятельство указали в своих ответах 15% опрошенных ряда организаций.
Наиболее распространенными являются следующие нарушения:
• проведение совещаний в неаттестованных службой безопасности помещениях, без соответствующего разрешения руководителя организации или его заместителей;
• допуск на совещание лиц, не имеющих отношения к обсуждаемым вопросам и участие которых не вызывается служебной необходимостью;
• несоблюдение очередности рассмотрения вопросов конфиденциального характера;
• нарушение требований внутриобъектового режима при проведении совещаний, создающих условия для визуального просмотра помещений, в которых проводятся совещания;
• фотографирование экспонатов и документов, представляемых на совещании, демонстрация конфиденциальных изделий без согласования с СБ;
• звукозапись и видеозапись выступлений участников совещания на носителях, не учтенных в СБ;
• направление материальных носителей (тетрадей, записей и др.) конфиденциального характера в организации и физическим лицам, которых эти сведения непосредственно не касаются;
• незнание или недостаточное знание работниками, принимающими командированных лиц, корпоративных актов, регулирующих обращение КЗИ, в частности требований инструкции о порядке приема командированных лиц. Показательно, что на это обстоятельство указали около 45% опрошенных лиц. Следующий возможный канал утечки информации может быть обусловлен нарушениями, которые допускаются при ведении конфиденциальных работ в не подготовленных для этих целей рабо-чих помещениях. Около 15% опрошенных работников указали на это обстоятельство. Под рабочими помещениями понимаются в данном случае те, в которых ведутся конфиденциальные работы и хранятся в нерабочее время документы и изделия, содержащие КЗИ. Такие помещения отнесены в установленном порядке к числу режимных, и они должны отвечать требованиям, обеспечивающим конфиденциальность проводимых работ. Нужно сказать, что в организациях, где выборочно проводился анализ, имелся перечень таких помещений. В перечне, как правило, указывалось расположение режимных помещений и лица, имеющие право допуска в них. Такой порядок затрудняет, но не исключает возможность бесконтрольного проникновения посторонних лиц в такие помещения. Наличие перечня не гарантирует сохранность конфиденциальных документов и изделий, находящихся в этих помещениях. Для этого нужны комплексные меры по охране КЗИ,
Недостатки, связанные с отсутствием в организациях материально-технических условий для защиты КЗИ, могут способствовать проявлению ВКУ информации. Речь идет о защите отображаемой на мониторе конфиденциальной КЗИ, об использовании незащищенных линий связи, звукозаписи, звукоусиления, переговорных и телевизионных устройств; средств пожарной и охранной сигнализации, систем электрочасофикации, электрооборудования и других дополнительных технических средств защиты, исключающих утечку охраняемой информации за счет побочных электромагнитных излучений и наводок.
Допут к КЗИ, доступ и обращение с конфиденциальной информацией, если они совершаются с нарушением требований разрешительной системы, могут привести к утечке информации. Об этом заявили 14% из числа опрошенных лиц. Ранее мы упоминали о том, что значительная часть работников-исполнителей конфиденциальных работ недостаточно хорошо ознакомлены с порядком осуществления мер охраны при обращении с КЗИ. Примером этого может быть подготовка и согласование технического задания на разработку новых (модернизируемых) изделий и меры по продвижению товаров на рынок. Техническое задание (ТЗ), безусловно, содержит тактико-технические требования, определяющие будущий «облик нового изделия». При подготовке ТЗ и его рассмотрении может необоснованно расширяться круг лиц, которые с ним ознакомились. Это относится прежде всего к процедуре согласования ТЗ в подразделениях организации. Оно должно осуществляться в части, касающейся направлений их деятельности. Это в полной мере принадлежит частному ТЗ, выдаваемому контрагенту, включая и дочернее общество. Чаще всего нарушения при работе с ТЗ проявляются в хранении этого важного документа в общем деле («Переписка по теме») и отсутствие ограничения на доступ к этим материалам.
Одним из каналов возможной утечки информации может быть выезд работников организации, ознакомленных с КЗИ, за границу. На это обстоятельство указали 10% выборочно опрошенных в ряде организаций лиц. Закон о коммерческой тайне не выделяет иностранных физических и юридических лиц в качестве субъектов правоотношений по поводу КЗИ. Закон также не упоминает об особенностях взаимоотношений обладателя информации, составляющей коммерческую тайну, с иностранными лицами.
Анализ практики российских организаций с инофирмами подтверждает наличие определенной специфики взаимоотношений по поводу обращения КЗИ. Для примера рассмотрим деятельность ряда организаций, работники которых периодически выезжают за рубеж на основании межгосударственных соглашений об оказании технической помощи в использовании российской продукции. Подбор и оформление специалистов для работы за рубежом производится организациями самостоятельно в соответствии с действующим законодательством. При подборе кадров уделяется особое внимание проверке деловых и моральных качеств работника. Каждый выезжающий проходит обязательный инструктаж в кадровом органе и СБ организации.
Недостатки, а точнее отклонения, которые могут быть выявлены в поведении лиц, представляющих организацию за границей и не попавших ранее в поле зрения СБ, впоследствии могут привести к утечке КЗИ. В этой связи проанализируем порядок выезда за границу и контроль за работой бригады специалистов, находящихся за рубежом, на примере одного из предприятий авиационной промышленности. По условиям договора с инофирмой, российские специальные летающие лаборатории на базе самолетов АН-26, оборудованные несекретной аппаратурой летного контроля, осуществляют облет систем ближней навигации, посадки и управления воздушным движением, установленных на аэродромах ряда государств Азии и Африки. Все системы, подлежащие облету, а также документация на них — несекретные, но вместе с тем содержат элементы ноу-хау.
Анализ публикаций, посвященных изложению форм и методов промышленного шпионажа, позволяет сделать вывод о том, что инофирмы активно ведут работу в отношении российских специалистов, представляющих для них коммерческий интерес. Эта работа не прекратилась даже после распада СССР и перехода России к рыночной экономике.
Общее руководство работами осуществляется соответствующим Федеральным агентством Министерства экономического развития и торговли РФ, которое подписывает необходимые документы на производство указанных работ с представителями иностранного государства. После подписания контракта руководители соответствующих подразделений организации определяют специалистов для направления в загранкомандировку. Кадровый орган совместно с СБ осуществляет формирование бригады специалистов и обеспечивает утверждение ее состава руководителем организации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
