5192-1 (589823), страница 6
Текст из файла (страница 6)
Подделка, модификация, фальсификация — это способы получения доступа к конфиденциальной информации путем предоставления ложных документов; изменений, которые ведут к преодолению запретов; искажению истинной картины в ущерб законным владельцам.
Конечно, такие действия, как подделка, модификация, фальсификация, применяются не только по отношению к информации, но и по отношению к материальным продуктам. В том случае, когда дело касается информации, могут возникнуть особо сложные и тонкие ситуации, когда права первооткрывателей и законных владельцев защитить очень трудно.
Уничтожение информации (а также продукции и людей), к сожалению, не редкость в наше время. Уничтожение может осуществляться с применением технических средств, оружия или программным путем. Для уничтожения информации иногда бывает достаточно поразить системы автоматизированной обработки данных, защиты информации, связи, охраны, противопожарной защиты и др., то есть что-то обеспечивающее или даже второстепенное.
Незаконное подключение — это контактное или бесконтактное получение тех сообщений, которые передаются по различным линиям и проводам. Подключиться для перехвата каких-то сообщений можно практически к любым линиям связи, даже к сетям питания и заземления, даже к волоконно-оптическим линиям связи. Обнаружить подключение очень сложно, так что угрозу незаконного подключения надо считать серьезной.
Перехват — это получение информации за счет электромагнитных волн пассивными средствами приема. Перехватываются не только сигналы радиосвязи, но и другие такие электромагнитные излучения, как: излучения радиолокационных и радионавигационных систем, телеуправления, сигналы, возникающие в электронной аппаратуре за счет самовозбуждения, акустического воздействия, паразитных колебаний, сигналы ПЭВМ, возникающие при выдаче на экран электронно-лучевой трубки текущей информации. Возможен перехват переговоров по радиотелефону и по беспроводным системам связи внутри учреждения. Возможная дальность установления контакта колеблется от десятков метров до тысяч километров (в зависимости от характера источника и используемых средств перехвата). Поскольку растет объем информации, передаваемый «радиоспособом», постольку растет и значение такого способа незаконного получения информации, как перехват.
Негласное ознакомление — это любой способ получения информации, к которой субъект не допущен, преднамеренный или случайный, несанкционированный и оставшийся тайным в момент его использования. Одним из обстоятельств, способствующих негласному ознакомлению с конфиденциальной информацией, является низкая трудовая дисциплина и пренебрежение правилами режима секретности. Другим обстоятельством может иногда быть плохо продуманный режим секретности, когда, например, оказывается возможным одно и то же или что-то близкое получить и законно, и незаконно. Для негласного ознакомления сейчас широко используются многочисленные весьма совершенные технические средства, но не сняты с вооружения и возможности человека, которые у данного индивидуума оказались феноменальными (зрительная память, слух, умение читать речь по губам и т. д.).
Фотографирование — это способ получения видимого изображения на разнообразных фотоматериалах. Особенность способа — документальность. Снимки могут иметь разное назначение, от компромата до раскрытия секретов технологического характера, бывает, что они дают очень ценные и детальные сведения об объекте наблюдений.
Возможности современных фотокамер, объективов и материалов буквально ошеломляют (если на фотовыставке демонстрируется снимок, сделанный в момент внедрения сперматозоида в яйцеклетку, то понятно, что тайно снять событие, непосредственно предшествующее упомянутому, — не проблема).
Конечно, фотографирование как способ добывания информации в наше время должно быть дополнено таким способом, как видеосъемка.
Вся информация (как полученная из открытых источников, так и похищенная) подвергается соответствующей аналитической обработке силами квалифицированных специалистов. В результате их работы руководству или сторонним заказчикам предоставляются соответствующие информационно-аналитические документы.
Перечисление способов несанкционированного доступа к конфиденциальной информации — это не какая-то классификация или систематизация, это просто первое знакомство с определенным кругом угроз бизнесу.
Естественно, возникает вопрос: как противостоять этим угрозам? В силу сложности и объемности проблемы ответ на этот вопрос сейчас можно дать лишь на уровне первого знакомства.
Защита информации (как и любая другая защита) начинается с создания необходимой правовой основы. В организации должны быть разработаны и введены в действие нормативные документы, которые регламентируют меры защиты в соответствии с действующим законодательством. Без создания правовых основ обеспечения безопасности любые последующие претензии предпринимателя к кому-либо могут оказаться просто беспочвенными.
Нормативные правовые документы должны регламентировать:
• порядок определения и фиксации степени секретности информации;
• порядок работы с информацией данной степени секретности;
• работу организационных структур, созданных для защиты бизнеса в целом и информации в частности;
• работу структурных единиц организации в части защиты законных интересов организации;
• взаимодействие с государственными органами в части защиты законных интересов организации;
• меры ответственности за различные нарушения законных интересов организации и причиненный при этом ущерб и ряд других вопросов.
Следующий элемент защиты — организационные мероприятия, направленные на чрезвычайное затруднение несанкционированного доступа к конфиденциальной информации. Эти мероприятия многообразны и многоплановы:
• мероприятия, осуществляемые при проектировании, строительстве и оборудовании помещений и отдельных производственных зон;
• мероприятия, обеспечивающие удобство контроля прохода и перемещения людей, проезда транспорта;
• мероприятия, осуществляющиеся при подборе, найме и увольнении персонала;
• мероприятия, связанные с сохранением сведений работниками (постоянными, временными, сторонними);
• организация надежного пропускного режима и контроля посетителей;
• организация надежной охраны помещений и территорий;
• организация хранения, использования и защиты носителей конфиденциальной информации;
• мероприятия по обеспечению безопасной (в смысле секретности) эксплуатации различных технических средств и целый ряд других мероприятий.
Следующий элемент защиты называют инженерно-техническим. Инженерно-техническая защита должна создать возможность противодействовать тем техническим средствам незаконного получения информации, которыми располагают злоумышленники. Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности бизнеса.
По функциональному назначению средства инженерно-технической защиты делятся следующим образом:
• физические средства защиты, препятствующие проникновению злоумышленников на объекты и защищающие персонал, материальные ценности, финансы и информацию от противоправных действий;
• аппаратные средства защиты, то есть приборы, устройства, приспособления и т. д., которые призваны препятствовать утечке информации;
• программные средства защиты, то есть специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных;
• криптографические средства защиты — это специальные математические и алгоритмические средства защиты информации, передаваемой по сетям связи или хранимой и обрабатываемой на ЭВМ, которые основаны на шифровании информации.
Особо надо сказать о том, что в наше время, когда распространенность и значимость ЭВМ стали очень велики, требуется специальная комплексная защита средств вычислительной техники. Строится эта защита по тем же принципам, что и защита информации в системе целиком: организационные меры защиты, аппаратные, программные и криптографические средства защиты.
В заключение надо сказать, что охота за информацией и защита информации — это вечная борьба копья и щита, которая издавна идет с переменным успехом и которую, к сожалению, еще долго придется вести.
§ 4.3. Мошенничество и его предотвращение
Общее представление о мошенничестве
Под мошенничеством понимают выманивание, похищение у кого-либо денег, ценностей, прав и т. д. с помощью обмана при некоторой осведомленности и доверительном отношении к происходящему того, кого обманывают. В основе мошенничества лежат обман и/или злоупотребление доверием.
Жертвами мошенничества по отношению к частным лицам обычно становятся люди с определенной психологической структурой личности. Это прежде всего алчные люди, люди с обостренным чувством зависти, не уверенные в себе, или, наоборот люди, склонные словчить, получить выгоду, не считаясь с нормами морали, люди авантюристического склада, иногда люди, пережившие тяжелое эмоциональное потрясение.
Становятся жертвами мошенничества и организации. Чаще всего урон наносится финансам, организации, но бывает, что потери носят материальный характер. Некоторые аспекты мошенничества против организации и меры по защите от него обсуждаются ниже.
Специалисты выделяют несколько типов мошенничества. Первый тип — это мошенничество (растраты, хищения) со стороны наемного работника. Даже простое перечисление типичных видов такого мошенничества производит впечатление:
• воровство наличности из кассы, воровство чеков, использование наличности не по назначению, фальсификация кассовых книг и сумм на банковских счетах, подделка чеков, оплата личных счетов чеками фирмы, фальсификация записей в бухгалтерских книгах;
• представление фальсифицированных счетов-фактур, фальсификация транспортных накладных и т. д.;
• кражи инвентаря, несанкционированные продажи имущества фирмы, использование имущества фирмы, мошенничество со счетами от медицинских учреждений, фальсификация отчетности о командировках;
• сговор с клиентами или поставщиками, получение «благодарности» за определенные услуги, завышение цен, использование подставных поставщиков, переплата «сверху», выдача необеспеченных или фальшивых векселей, мошенничество с выплатой зарплаты, предоставление заказов за взятки;
• мошенничество со страховкой, незадекларированные доходы, фальсификация налоговых деклараций;
• компьютерные преступления и ряд других деяний.
Второй тип мошенничества — это мошенничество со стороны руководителей. Обычно имеют место манипуляции с финансовой отчетностью. Часто обман совершается в интересах организации, а не только и не столько в интересах мошенника.
Третий тип — аферы с инвестициями, когда инвесторам предлагается вложить деньги в проекты, которые оказываются липовыми, не имеющими никакой стоимости.
Четвертый тип мошенничества — мошенничество поставщиков. Эти аферы бывают действиями самих поставщиков или совместными действиями поставщиков и заказчиков. Обычно завышается количество поставляемого товара. Либо поставляется бракованный товар, либо товар вообще не поставляется, а платежи за него производятся.
Пятый тип — мошенничество со стороны потребителя: неоплаченный товар, получение платы за несделанную работу, поставка фирмам ненужного им товара.
Возможны, конечно, различные комбинации типов мошенничества и мошенничество нефинансовой направленности (фальсификация свидетельств о рождении игроков на каком-либо детском чемпионате).
Статистически достоверно, что от своих работников фирмы терпят ущерб больше, чем от клиентов. Ущерб от мошенничества возрастает в тяжелые экономические периоды, в период роста финансовых затруднений, слияния фирм, во время осуществления рискованных проектов. И как это не печально, мошенничество может совершить любой.
При всем разнообразии мошеннических деяний есть три основных элемента, присущих им всем:
• давление внешних обстоятельств;
• возможность совершить и какое-то время скрывать мошенничество;
• способность оправдать это действие.
Если человек ощущает давление внешних обстоятельств, имеет возможность совершить мошенничество и может оправдать свой поступок перед самим собой, то скорее всего он пойдет на мошенничество. Те, кто противостоит мошенничеству, обращают внимание главным образом только на один из трех названных моментов: на саму возможность совершить мошенничество. В этом одна из причин неудач в борьбе с этим явлением.
Специалисты разделяют давление внешних обстоятельств на четыре группы:
• финансовое давление (жадность, жизнь не по средствам, долги, большие медицинские расходы, большие финансовые потери, неожиданная потребность в деньгах и т. д.);
• давление пороков и пагубных пристрастий (алкоголь, сексуальная распущенность, азартные игры, наркотики);
• давление, связанное с работой (бывает, что человек идет на мошенничество ради сведения счетов с начальством или сослуживцами, из-за недооценки (действительной или кажущейся) его успехов, неудовлетворенности от работы или зарплаты, боязни потерять работу и т. д.);
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
