Главная Случайная страница


Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






Вопрос 2. Типовые причины, формы и методы реализации угроз информационной безопасности организации с участием ее персонала.




 

Субъектами угроз информационной безопасности организации могут выступать:

Ø конкуренты, как самой организации, так и ее контрагентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;

Ø криминальные структуры, пытающиеся получить сведения о самой организации или ее контрагентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров неформальных сборов в режиме рэкета);

Ø индивидуальные злоумышленники (в современных условиях – чаще всего хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;

Ø собственные нелояльные сотрудники, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;

Ø государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

 

Типовые формы угроз информационной безопасности организации:

Ø перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшей организации заключается в том, что о самом факте утечки она, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);

Ø хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи – приобретает соответствующие сведения и лишает их пострадавшую организацию;

Ø повреждение или уничтожение конфиденциальной информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемой организации;

Ø искажение конфиденциальной информации, в результате которого атакованная организация может принять изначально ошибочное управленческое решение или оказаться скомпрометированной в глазах контрагентов или государства.

 

Методы реализации угроз информационной безопасности организации дифференцируются в зависимости:

Ø от вида данных, являющихся объектом угрозы;

Ø от субъекта угрозы.

 

При использовании классификации по первому признаку можно отметить, что основной угрозой является не санкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, искажение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для организации структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любой организации системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать («снимать») информацию с работающих компьютеров, факсов, модемов. При этом возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самой организации, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.



Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений – включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в большинство офисов организации всегда достаточно затруднительно, сторонние субъекты угроз также стремятся использовать в этих целях ее собственный персонал.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства – скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе – в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемой организации: приобретение необходимых технических средств перехвата информации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).

 

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты как самой организации, так и ее контрагентов. Чаще всего ими применяются:

Ø вербовка сотрудников территориальных налоговых инспекций и других органов государственного надзора, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкуренту и особенно распространено в современных отечественных условиях);

Ø внедрение своих агентов в атакуемую организацию, что доступно лишь для наиболее крупных конкурентов, располагающих мощными службами безопасности и специально подготовленными сотрудниками;

Ø вербовка сотрудников атакуемой организации с использованием методов, уже рассмотренных в теме 3;

Ø использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;

Ø использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.

 

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемой организации, применяя для этого прямые угрозы, шантаж или подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях – чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники организации могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних структур. Чаще всего при реализации рассматриваемых угроз они используют собственное служебное положение, обеспечивающее доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять функции резидентов нанявших их сторонних структур. В этом случае сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовку информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государства в отличие от конкурентов, чаще используют метод внедрения в контролируемую организацию собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших коммерческих организаций функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о контактах с представителями теневой экономики). В крупнейшие корпорации агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.

Вопрос 3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.

 

Организация работы по рассматриваемому направлению осуществляется в следующей общей последовательности.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений организации как объекта защиты и присвоение им соответствующего грифа секретности. Чаще всего используется следующий типовой укрупненный перечень (исходя из условий работы конкретной организации в него вносятся необходимые коррективы).

 

Абсолютно конфиденциальные сведения включают в себя:

Ø информацию, составляющую клиентскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов или подконтрольным организациям;

Ø закрытую информацию о собственниках организации;

Ø информацию о стратегических планах организации по коммерческому и финансовому направлениям деятельности;

Ø любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий «упреждающего противодействия» и, частично, «адекватного ответа»;

Ø прикладные методы защиты информации, используемые организацией (коды, пароли, программы).

 

Строго конфиденциальные сведения включают в себя:

Ø все прочие конфиденциальные сведения о клиентах;

Ø информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;

Ø информацию о сотрудниках организации, содержащуюся в индивидуальных досье.

 

Конфиденциальные сведения включают:

Ø базы данных по направлениям деятельности организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;

Ø сведения о заработной плате и индивидуальных «социальных пакетах» сотрудников организации, а также составе «резерва на выдвижение»;

Ø внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрикорпоративного менеджмента.

 

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информацииорганизации. Выделяются их следующие группы:

Ø каналы утечки через внешние и локальные компьютерные сети организации;

Ø каналы утечки с использованием технических средств перехвата информации;

Ø каналы утечки по вине нелояльных или безответственных сотрудников банка.

 

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в адрес конкретных элементов конфиденциальной информации, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы:

Методы программно-математического характера:

Ø программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры организации;

Ø программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);

Ø программы, автоматически кодирующие (шифрующие) информацию;

Ø программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;

Ø программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.

 

Методы технического характера:

Ø использование экранированных помещений для проведения конфиденциальных переговоров;

Ø использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройствами автоматического уничтожения ее при попытке несанкционированного проникновения);

Ø использование детекторов и иной аппаратуры для выявления устройств перехвата информации;

Ø использование защищенных каналов телефонной связи;

Ø использование средств подавления работы устройств перехвата информации;

Ø использование средств автоматического кодирования (шифровки) устной и письменной информации.

 

Методы организационного характера:

Ø мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

Ø мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников организации на службе и вне ее);

Ø мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

Ø мероприятия по контролю над соблюдением установленных правил информационной безопасности;

Ø мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

 

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности организации, предполагающее:

Ø разработку общей концепции информационной безопасности как элемента общей стратегии безопасности организации;

Ø разработку внутренней нормативной базы;

Ø расчет и выделение необходимых финансовых ресурсов;

Ø обучение персонала организации правилам обеспечения информационной безопасности;

Ø формирование и последующее развитие формализованных процедур контроля над соблюдением установленных правил, а также санкций за их нарушение.

Последнее изменение этой страницы: 2017-07-07; просмотров: 1560

lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...