Захист інформації з обмеженим доступом в діяльності малих підприємств та фізичних осіб-суб’єктів підприємницької діяльності

Ці загрози можуть проявлятися у вигляді спроб  здійснення шахрайських операції з  використанням глобальних або вітчизняних  інформаційно-телекомунікаційних систем, відмивання фінансових коштів, одержаних  протиправним шляхом, одержання неправомірного доступу до фінансової, банківської  та іншої інформації, яка може бути використаною з корисливою метою.

 

Джерела загроз інформаційній безпеці  держави

 

Інтереси держави  в інформаційній сфері полягають  у створенні умов для гармонійного розвитку інформаційної інфраструктури держави, реалізації конституційних прав і свобод людини і громадянина  в інтересах зміцнення конституційного  ладу, суверенітету і територіальної цілісності країни, встановлення політичної і соціальної стабільності, економічного процвітання, безумовного виконання  законів і підтримки міжнародного співробітництва на основі партнерства.

У першу чергу  загрози інтересам держави також  можуть проявлятися у вигляді  отримання протиправного доступу  до відомостей, що складають державну таємницю, до іншої конфіденційної інформації, розкриття якої може нанести  збитки державі.

Проте найбільш небезпечними джерелами загроз інтересам держави  в інформаційному суспільстві може стати неконтрольоване розповсюдження інформаційної зброї та розгортання  гонки озброєнь у цій галузі, спроби реалізації концепції ведення інформаційних  війн.

Поняття інформаційної  зброї визначається як сукупність засобів, методів і технологій, що забезпечують можливість силового впливу на інформаційну сферу протилежної сторони з  метою руйнування її інформаційної  інфраструктури, системи управління державою, зниження духовного потенціалу суспільства.

Серед найбільш серйозних  завдань, які можуть вирішуватися за допомогою сучасної інформаційної  зброї, можна виділити наступні:

• створення атмосфери бездуховності та аморальності, негативного відношення до культурної спадщини противника;
• маніпулювання суспільною свідомістю та політичною орієнтацією соціальних груп населення держави з метою створення політичної напруги та хаосу;
• дестабілізація політичних відносин між партіями, об'єднаннями та рухами з метою провокації конфліктів, розпалювання недовіри, загострення політичної боротьби, провокування репресій проти опозиції, провокація взаємного знищення;
• зниження інформаційного забезпечення влади та управління, інспірація помилкових управлінських рішень;
• дезінформація населення про роботу державних органів, підрив їхнього авторитету, дискредитація органів управління;
• провокування соціальних, політичних, національних і релігійних сутичок;
• ініціювання страйків, масових заворушень та інших акцій економічного протесту;
• ускладнення прийняття органами важливих рішень;
• підрив міжнародного авторитету держави, її співробітництва з іншими країнами;
• нанесення втрат життєво важливим інтересам держави в політичній, економічній, оборонній та інших сферах.

Руйнівний вплив  інформаційної зброї в інформаційному суспільстві може бути більш потужним та ефективним, ніж це уявляється зараз. Це є особливо небезпечним в умовах існування майже монопольного положення  компаній невеликої кількості країн  на ринку інформаційних продуктів, оскільки це здатне спровокувати бажання  використати наявну перевагу для  досягнення тієї чи іншої політичної мети.

Вищезазначене

 

3. Канали витоку і методи захисту інформації з обмеженим доступом.

 

3.1. Канали витоку  інформації з обмеженим доступом

 

Потенційний ризик витоку інформації з обмеженим доступом існує у двох напрямках: зовнішній  і внутрішній канали.

Зовнішній канал використовується недобросовісними конкурентами чи злочинними елементами, дії яких можуть бути спрямовані на:

– одержання інформації за допомогою технічних засобів перехвату та зняття інформації;

– викрадення або зняття копій з документів та інших носіїв інформації, що містять комерційну таємницю;

– одержання інформації в процесі проходження її через  комунікаційні мережі;

– знищення інформації чи пошкодження  її носіїв;

– підкуп, шантаж співробітників підприємства з метою одержання  інформації, що складає комерційну таємницю;

– переманювання провідних  фахівців на конкуруючі підприємства.

Внутрішній канал пов'язаний з користю чи іншою особистою зацікавленістю окремих співробітників підприємства, незадоволених заробітною платою чи відносинами з керівництвом, а також з впровадженням до штату підприємства осіб, що працюють на конкурентів. Такі співробітники можуть видати (виказати, розголосити) комерційну таємницю конкурентам або знищити важливу інформацію. Внутрішнім каналом витоку інформації може стати також балакучість співробітників, що ведуть службові розмови в не належних для цього місцях (готелі, кімнати для куріння тощо).

 

3.2. Класифікація методів захисту інформації на малому підприємстві

 

Методи захисту інформації з обмеженим доступом поділяються на:

■ правовий;

■ організаційний;

■організаційно-технічний;

■ технічний.

 

Правовий захист інформації на підприємстві здійснюється через закріплення у його нормативних і установчих документах прав і обов'язків відповідних суб'єктів щодо порядку захисту відомостей з обмеженим доступом. Ці заходи можуть бути визначені у Статуті підприємства, трудових договорах (контрактах) із співробітниками підприємства, наказах, правилах внутрішнього розпорядку підприємства тощо.

Організаційні методи захисту інформації підприємства включають:

– організацію таємного (конфіденційного) діловодства. "Грифи" і порядок функціонування цього  діловодства визначає керівництво  малого підприємства;

– розмежування доступу  до інформації. Тобто, кожний співробітник малого підприємства повинен мати доступ тільки до тих відомостей, які необхідні йому для виконання своїх прямих службових обов'язків. Дозвіл на доступ до такої інформації видається керівником підприємства, при цьому співробітник несе відповідальність за розголошення одержаних відомостей;

– встановлення такого порядку  використання технічних засобів  і приміщень, який виключав би витік  інформації. Наприклад, при роботі з  копіювальними засобами необхідно  забезпечити суворо регламентоване копіювання тих документів, на які  розповсюджений режим конфіденційності;

– встановлення порядку  роботи з відвідувачами — їх облік  у спеціальному журналі, визначення приміщення для прийому відвідувачів. Їх супровід при відвідуванні основних робочих приміщень;

– встановлення порядку  проведення переговорів з відвідувачами, який повинен переслідувати двояку мету: по-перше, не допустити витоку інформації, по-друге, одержати найбільш повні відомості про наміри відвідувачів;

– навчання співробітників підприємства заходам щодо захисту  комерційної таємниці, підвищення їх відповідальності за ненавмисне розголошення комерційної таємниці.

 

Організаційно-технічні методи захисту інформації

 

Організаційно-технічні методи захисту інформації застосовуються з метою виключення несанкціонованого проникнення на територію малого підприємства, а в особливих випадках – до його приміщень, де циркулює інформація з обмеженим доступом у різнобічних формах. Для цього мале підприємство повинно використовувати спеціалізовані технічні засоби, як то:

• системи охоронної сигналізації;
• системи контролю доступу;
• системи відеоспостереження.

Використання таких технічних засобів для забезпечення збереження інформації створює додаткові гарантії того, що документи та інші носії інформації будуть надійно захищені. Технічні засоби захисту можуть бути поділені на:

■ засоби охорони території  підприємства;

■ засоби захисту комунікацій;

■ засоби захисту комп'ютерних  систем і баз даних від несанкціонованого  доступу.

 

Засоби  охорони території становлять різноманітні типи захисних технічних пристроїв і контролюючих систем, включаючи загороди з автоматичною системою сигналізації про спробу їх подолання, системи телевізійного контролю території, різноманітне електронно-оптичне та інше охоронне обладнання. До засобів охорони також можна віднести режимні сис- теми розмежовування доступу співробітників до приміщень з різним ступенем таємності.

 

Засоби  захисту комунікацій.

Сьогодні джерелом витоку інформації в значній мірі є процеси  обробки, передачі, прийому та зберігання інформації, пов'язані з використанням  електронних, електромеханічних та електротехнічних пристроїв. Дія таких  пристроїв, як правило, супроводжується (якщо не приймаються спеціальні заходи) побічними або паразитними випромінюваннями. Побічні випромінювання безпосередньо несуть інформацію, але розповсюджуються "безадресно" (персональні ЕОМ, звуко- і відеозаписуюча апаратура, телевізори, електричні друкарські машинки, телетайпи і телефакси, апаратура передачі даних, гучномовний і селекторний зв'язок, а також всі види зовнішнього провідного і радіозв'язку, що не мають спеціальних шифруючих і дешифруючих пристроїв).

Паразитні випромінювання супроводжують процеси перетворення сигналів. Наприклад, імпульсне випромінювання супроводжує роботу персональної ЕОМ. Стаціонарну "картинку" на екрані дисплею можна відтворити на екрані іншого дисплею на відстані 200-300 метрів. Паразитні наведення на сусідні пари телефонного кабелю або на спеціальні підслуховуючі "муфти" можуть стати каналом витоку інформації. Поширенню паразитного випромінювання можуть сприяти деякі види датчиків пожежної і охоронної сигналізації, елементи системи електричних годинників, радіоточки, труби опалення та газові труби, переговорні пристрої та деталі телефонних апаратів.

Основними методами захисту  комунікацій є:

– пошук закладних (підслуховуючих або записуючих) пристроїв;

– забезпечення скритності передачі інформації по телефонно-телеграфним  каналам шляхом їх шифрування;

– спеціальний захист апаратури  від випромінювання за допомогою  захисних блоків;

– утворення штучних завад  перехопленню електричних чи акустичних сигналів.

Засоби  захисту інформації при використанні комп'ютерних систем і баз даних можна поділити на такі групи:

■ приховане кодування  документів на магнітних носіях, тобто  доповнення тексту документів на магнітних  носіях ознакою авторства чи майнової належності, що не читаються при  нормальному відтворенні, завдяки  якому можна виявити осіб, здійснюючих  крадіжку документів;

■ криптографування (шифрування) всього документу чи його частини  на машинних носіях, що робить цей документ недосяжним для розуміння особами, які не володіють ключем або кодом  для дешифрування;

■ програмне та (або) апаратне обмеження доступу до комп'ютерів в цілому або до магнітних носіїв інформації ("вінчестерів" та "флоппі дисків").

Використання комп'ютерів у підприємництві привело до того, що великі обсяги ділової інформації передаються і одержуються по комп'ютерним мережам, які охопили  практично весь світ. Саме через  комп'ютерні мережі вчиняється більшість  крадіжок інформації.

Іншою проблемою є захист інформації від підробок. Для цих  цілей використовується програма під  назвою "електронний підпис", яка  дозволяє підтвердити власника документу, що передається, але його текст при  цьому залишається незахищеним.

Більш надійний захист інформації, що передається, можна здійснити  шляхом її шифрування. Зручніше шифрувати  інформацію за допомогою апаратних  пристроїв, шляхом підключення до комп'ютера  додаткової електронної плати.

Просто і ефективно  захищають від копіювання відомості, що накопичені в пам'яті комп'ютера, механічні чи електромеханічні ключі, які входять у його комплект.

 

Протидія несанкціонованому  доступу і програмним закладкам.

 

Під несанкціонованим доступом розуміють тайне проникнення  в технологічний процес обробки  інформації. Захист технологічного процесу  обробки інформації забезпечується шляхом визначення:

– об'єктів доступу;

– суб'єктів доступу;

– штатних засобів доступу  до інформації;

– засобів захисту інформації;

– правил розмежування доступу.

Об'єктами доступу у залежності від класу автоматизованої системи можуть бути:

– система в цілому;

– термінали, ЕОМ, вузли мережі ЕОМ, канали зв'язку, зовнішні пристрої ЕОМ;

– програми;

– томи, каталоги, файли, записи, поля записів;

– всі види пам'яті ЕОМ, в яких може знаходитися конфіденційна  інформація.

Суб'єктами доступу можуть бути особи і процеси (програми користувачів), що мають можливість доступу до об'єктів штатними засобами автоматизованих систем. Суб'єкти доступу можуть мати офіційний дозвіл (допуск) до інформації певного рівня конфіденційності.

Під штатними засобами доступу до інформації в автоматизованих системах розуміються загальносистемні і прикладні програмні засоби, засоби і програми, що надають суб'єктам документальні можливості допуску до об'єктів доступу.

В цілях захисту інформації слід приймати заходи щодо попередження встановлення в комп'ютерні мережі деструктивних програмних закладок. Під програмними закладками розуміють окремі програми чи спеціальні підпрограми, вбудовані в програмні засоби автоматизованих систем з метою виконання розвідувальних чи деструктивних завдань (модифікація даних чи програм, нав'язування фальшивих даних, знищення даних чи програм).

З метою технічного захисту  конфіденційної інформації необхідно:

– слідкувати за складом  і структурою програмно-технічних  засобів, які включено в реальний технологічних процес обробки інформації. Не допускати встановлення програмних закладок або програмно-технічних  засобів, в тому числі загального призначення, які не пройшли перевірки  і не мають сертифікату, що підтверджує  можливість їх застосування для обробки  інформації з обмеженим доступом;