У нас: 141825 рефератів
Щойно додані Реферати Тор 100
Скористайтеся пошуком, наприклад Реферат        Грубий пошук Точний пошук
Вхід в абонемент


Якщо немає загрози, то відповідно відсутній факти витоку інформації до зловмисника. Загроза передбачає намір зловмисника здійснити протиправні дії по відношенню до інформації для досягнення бажаної мети. Загроза може бути потенційною і реальною. Реальні загрози, в свою чергу, поділяються на пасивні і активні. За місцем виникнення і відношенням до фірмі загрози поділяються на внутрішні і зовнішні, за часом - постійні і періодичні (епізодичні). Зловмисник може створювати уявну загрозу, на протидію якої будуть витрачені реальні сили та засоби. Загрози інформації реалізуються зловмисником за допомогою прийомів і методів промислового або економічного шпіонажу. Загроза збереженню інформації і документів особливо велика при їх виході за межі служби конфіденційної документації, наприклад при передачі документів персоналу на розгляд та виконання, при пересилці або передачі документів адресатам і ті Однак необхідно враховувати, що втрата цінної інформації відбувається, як правіше, не в результаті навмисних дій конкурента або зловмисника, а через неуважність, не професіоналізм і безвідповідальність персоналу. Втрата (витік) інформації передбачає несанкціонований перехід цінних, конфіденційних відомостей до особи, яка не має права володіти ними і використовувати їх в своїх цілях для отримання прибутку. В тому випадку, коли мова йде про втрату інформації по вині персоналу, зазвичай використовується термін "розголос інформації". Розголошує інформацію завжди людина - усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто або через посередника. Термін "витік інформації" використовується найбільш широко, хоча, на наш погляд, в більшому ступені відноситься до втрати інформації за рахунок її перехвату за допомогою технічних засобів розвідки. При розголошенні, витоку інформація може переходити або до зловмисника а потім, можливо, до конкурента, або до третьої особи. Під третьою особою в даному випадку розуміють любі особи, які отримали інформацію у володіння в силу обставин (тобто які стали її джерелом), але які не мають права володіння нею і, що дуже важливо, не зацікавлені в цій інформації. Однак необхідно враховувати, що від третіх осіб інформація може перейти до зацікавленої в ній особи - конкуренту фірми. Перехід інформації до третьої особи можна назвати ненавмисним, стихійним. Він виникає в результаті: втрати або випадково знищення документу, пакету (конверта); невиконання, незнання або ігнорування співробітником вимог по захисту інформації; надмірної балакучості співробітників під час відсутності зловмисника; роботи з конфіденційними документами при сторонніх особах, несанкціонованої передачі конфіденційного документа іншому співробітнику; використання конфіденційних відомостей в пресі, особистих записах, неслужбових листах; наявності в документах надмірної конфіденційної інформації; свавільного копіювання співробітником документів в службових цілях. На відміну від третьої особи зловмисник навмисно й таємно організовує, створює канал витоку інформації та експлуатує його по 161 можливості більш чи менш тривалий чає." Знати можливий витік інформації означає: для зловмисника - мати стабільну можливість отримувати цінну інформацію; для власника інформації - протидіяти зловмиснику та зберігати таємницю, а інколи і дезінформувати конкурент" Інформація повинна поступати до конкурента тільки по каналу, що контролюється, в якому відсутні конфіденційні відомості а інформація, яка циркулює, ранжована по складу, користувачам і характеризується загальною відомістю і доступом. Прикладом такого каналу є видання та розповсюдження рекламно-інформаційних матеріалів. Канали витоку, якими користуються зловмисники, відрізняються більшою різноманітністю. Основними видами цих каналів можуть бути: встановлення зловмисником взаємовідносин з співробітниками фірми або відвідувачами, співробітниками фірм-партнерів, службовцями державних або муніципальних органів управління та іншими особами; аналіз опублікованих матеріалів про фірму, рекламних видань, виставочних проспектів та іншої загальнодоступної інформації; вступ зловмисника на роботу в фірму; робота в інформаційних мережах; кримінальний, силовий доступ до інформації, тобто викрадення документів, шантаж персоналу та інші способи; робота зловмисника в технічних каналах розповсюдження інформації. В результаті своєї діяльності по організації розголошення або витоку цінної, конфіденційної інформації зловмисник отримує: оригінал або офіційну копію конфіденційного документу; несанкціоновано зроблено копію цього документу (рукописну чи виготовлену за допомогою технічних засобів - копіювального апарату, фототехніки, комп'ютера і т.д.); диктофону, магнітофонну касету із звукозаписом тексту документа; письмове чи усне викладення за межами фірми змісту документа, ознайомлення з яким здійснювалось санкціоновано або таємно; усне викладення тексту документа по телефону, переговорному пристрою, спеціальному радіозв'язку і т.і.; аналог документу, переданого по факсимільному зв'язку або електронній пошті; мовний або візуальний запис тексту документа, виконану за допомогою технічних засобів розвідки (радіозакладок, вмонтованих мікрофонів і відеокамер, мікрофотоапаратів, фотографування з більшої відстані). Виявлення каналу розголошення (витоку) інформації - складна, довготривала і трудомістка задача. В основі її вирішення лежить класифікація та постійне вивчення джерел і каналів розповсюдження інформації та можливих каналів її витоку, пошук і виявлення реальних каланів витоку оцінка ступеню небезпеки кожного реального каналу, придушення небезпечних каналів і аналіз ефективності захисних мір, яких було вжито для безпеки інформації. Канали розголошення (витоку) інформації завжди індивідуальні і залежать від конкретних задач, поставлених перед зловмисником. Отже, контроль джерел і каналів розповсюдження конфіденційної інформації дозволяє визначити наявність і характеристику загроз інформації, виробити структуру системи захисту інформації, яка надійно перекриє доступ зловмиснику до цінної інформації фірми. 2. Система захисту цінної інформації і конфіденційних документів Система захисту інформації (СЗІ) представляє собою комплекс організаційних, технічних і технологічних засобів, методів і мір, які перешкоджають несанкціонованому (незаконному) доступу до інформації. Власник інформації особисто визначає не тільки склад цінної інформації, яка належить захисту, але й відповідні способи та засоби захисту. Одночасно ним розробляються міри матеріального і морального стимулювання співробітників, які дотримуються порядку
Сторінки: 1 2 3 4 5 6 7 8 9 10