Захист конфіденційної інформації

Насамперед розберемо основні поняття. Несанкціоновані витоки інформації мають місце не тільки в ході комунікацій представників організації із зовнішніми контрагентами. Спеціальним видом професійної діяльності є несанкціоноване одержання закритої інформації, подолання систем її захисту, аналіз методів її кодування й шифрування, кодифікації й порядку використання (розвідка, шпигунство, хакерство). Для цього використовуються різні канали й способи. Нас цікавлять ті випадки, коли несанкціонований доступ до закритої інформації здобувається шляхом комунікацій із представниками організації, що володіє такими ресурсами. Під захистом інформації іноді розуміється дуже широке коло питань, що найчастіше невиправдано розширюють понятійні границі. Насправді всю сукупність відомостей, які носять характерні ознаки конфіденційності і які треба захищати від несанкціонованого розголошення, можна звести до трьом, особливо привабливим сторонньому оку, інформаційним комплексам. Це державна таємниця, службова закрита інформація (відомості для службового користування) і комерційна (підприємницька) таємниця:

- перша складається із властиво державної таємниці (відомостей, розголошення яких принесе шкода або збиток інтересам держави), військової таємниці (закритої інформації оборонного характеру, розголошення якої збільшує ризики зниження безпеки для країни), службової таємниці державних організацій, інших відомостей, що зберігаються в державних інформаційних системах і організаціях, не складових таємницю, але, що представляють інтерес для зовнішнього середовища;

- друга – закрита службова інформація зберігається у формі документів і інформаційних баз «родинних» організацій і до неї немає вільного доступу;

- третя, комерційна таємниця – це відомості, пов'язані з діяльністю комерційної організації й охоронювані нею, їх розкриття знижує їхню дійсну або потенційну комерційну цінність, завдає шкоди (у тому числі недоотриманий прибуток) бізнесу організації.

Звідси випливають висновки:

- суб'єктом оцінки ступені конфіденційності й цінності охоронюваної інформації є її власник (власник);

- цінність закритої інформації визначається за допомогою таких Критеріїв, як корисність, вірогідність, актуальність;

- інформація підлягає захисту з боку її власника на законній підставі, тому що її розголошення знизить її цінність (вартість).

Захист інформації є одним з найважливіших робочих напрямків комунікаційного менеджменту. Під розголошенням звичайно розуміється несанкціонований вихід відомостей, що захищаються, документів і невербальної інформації за межі кола осіб, яким вони довірені або стали відомі в ході виконання ними своїх службових обов'язків. Треба чітко представляти, що захист інформації викликає реакцію тих зацікавлених організацій і осіб, яких такий захист стосується. Неодмінно підуть як відповідні санкції, так і нові спроби несанкціонованого доступу, а також критична оцінка вжитих заходів. Перш ніж ухвалювати способи захисту інформації, слід знайти правильні відповіді на три групи питань:

- які відомості не можна приховувати, забороняючи до них доступ;

- які відомості невигідно приховувати й чому;

- які відомості підлягають охороні, ким, від кого, яким методом.

Керування ризиками несанкціонованих розголошень інформації (витоком, втратою, розголосом) перебуває в центрі уваги будь-якої методики менеджменту. Оскільки фільтрація службової й іншої конфіденційної інформації можлива в будь-якій комунікаційній ситуації, надійним захистом повинне бути забезпечений увесь інформаційний простір організації. Це стосується зберігання не тільки документальних архівів і електронних серверів. Режим розумної конфіденційності повинен дотримуватися в ході будь-якого спілкування співробітників зі сторонніми особами. Усі робочі місця співробітників організації повинні перебувати під надійним захистом і контролем. Важливість інформаційної безпеки знаходить висвітлення в багатьох системних документах організації – корпоративних регламентах, інструкціях і кодексах ділової поведінки персоналу.

Структура ризиків несанкціонованого розголошення інформації досить складна, що враховує можливість незапланованого доступу до ресурсів службової інформації організації практично на всі без винятку операційних етапах її обміну, переробки й зберігання. Тому розкрити всі сторони багатогранної діяльності менеджерів по безпеці інформації в рамках справжньої роботи не представляється можливим. Оскільки в спеціальній літературі методи аналізу погроз і рекомендації зі схоронності письмової інформації в системі документообігу й інших форм службового спілкування співробітників організації розроблені найбільше повно, їсти потреба торкнутися деяких особливостей ризикових факторів, що виникають при особистих контактах контрагентів.

Інформацію завжди розголошує конкретна людина – випадково, навмисне, при кодуванні, особисто або з використанням технологій передачі й т.п. У будь-якій організації є й завжди будуть безвідповідальні базіки, а також люди, які не вміють зберігати секрети. Тому очікувана витік інформації через працівників подібного в психологічного типу повинна бути врахована досвідченим менеджером заздалегідь. Таким людям довіряється лише необхідна інформація, що не представляє серйозної службової таємниці. Конфіденційні відомості зберігаються в керівників, але технологія роботи найчастіше вимагає, щоб ця захищена частина інформації епізодично ставала доступною для деяких співробітників, що створює погрозу Несанкціонованого доступу до секретів організації. Тому найбільш уразливою стадією розкриття інформації звичайно є ознайомлення з нею нових працівників або розширення кола присвячених.

Таке ознайомлення трапляється (найчастіше) під час службових зустрічей, переговорів, нарад, де проходять активні інформаційні обміни. Положення збільшується тим, що при подібному службовому контакті присутні кілька людей, як правило, з різних підрозділів, що й мають доступ до різних інформаційних каналів із зовнішнім середовищем. У всіх організаціях прийнято затверджувати порядок проведення нарад і переговорів, що регулюють безпеку обміну службовою інформацією, поширення її тільки в санкціонованому режимі. Основною погрозою є розголошення великого обсягу докладних відомостей про нову ідею, технологічного «ноу-хау» організації, розкриття сутності її інтелектуальної власності й інше конфіденційне втримування службової інформації.

Причини, по яких конфіденційна інформація може розголошуватися на відкриті для стороннього доступу нарадах, загальновідомі: слабке знання або ігнорування регламенту охорони інформації, незнання складу коштовної інформації, невміння виявляти провокаційні заходи з боку конкурентів, недостатня психологічна підготовка. Оголошення керівником інформації в санкціонованому режимі повинне бути серйозно мотивоване діловою необхідністю й доцільністю для конкретних умов. Нерідкі випадки, коли керівник (доповідач), віддаючи розголосу зайву інформацію, керується не характером порядку денного, а неправильним почуттям власної значимості, прагне показати свою компетентність, авторитет, продемонструвати свою впливовість.

З метою підвищення відповідальності за інформаційну безпеку контактів дозвіл на проведення конфіденційних зустрічей і переговорів (нарад) дає винятково перший керівник організації. Про це їм негайно сповіщається служба безпеки, яка фіксує запланований порядок денний, склад учасників, передбачає участь свого представника й комплекс необхідних технічних заходів. Особлива увага приділяється темі розголошення нової для учасників інформації. Непогані результати дає правило підготовки документів до наради з колонтитулом «конфіденційно» на кожній сторінці, відмова від згадування назви організації й точних ключових даних у тексті.

Склад запрошених співробітників організації регулюється внутрішніми правилами. Присутність сторонніх осіб дозволяється лише під час обговорення узкопрофессиональных питань. Перед початком обговорення кожної нової теми склад учасників коректується. У сторонніх осіб повинна бути на руках доручення (приписання, рекомендація) на участь у переговорах, з поясненням повноважень і границь компетенції. Учасники конфіденційної наради незалежно від займаних посад і статусу не повинні:

- вносити на нараду електронну й фіксуючу апаратуру;

- робити виписки з розданих документів;

- обговорювати питання порядку денного за межами переговірної кімнати;

- інформувати про нараду (питаннях порядку денного, складі учасників, часу й місці проведення, ході обговорення, ухвалених рішеннях) кого-небудь із непосвячених.

Відповідальність за забезпечення захисту інформації в ході зустрічі також несе керівник, що організує дане захід. Він же відповідає за збір розданих документів, інших довідкових матеріалів після закінчення наради. Керівник має право не дозволити учасникам зустрічі вести які-небудь записи або ж зажадати здати всі записи секретареві. Хід конфіденційної наради документується одним з, що готовили його співробітників або секретарем керівника. протокол, що складається, повинен мати гриф конфіденційності необхідного рівня. До складання протоколу чернетки зберігаються у встановленому порядку: після підписання протоколу вони знищуються в присутності представника служби безпеки. Немаловажним є розсилання учасникам 4 виписок із протоколів спільної наради. Виписки повинні доставлятися до адресата гарантованим від втрат і доступу сторонніх осіб способом. Повторимо раніше висловлену думку, що не стільки важливий витік усної інформації, скільки можливість документального її підтвердження.

Служба безпеки здійснює контроль над можливими організаційними й технічними каналами витоку (втрати) інформації:

- організаційний канал несанкціонованого доступу створюється за допомогою встановлення контактів зі співробітниками організації або самої організації (дружні відносини, приймання на роботу, представництво інтересів партнерської організації, роль клієнта й інші легальні способи). Далі встановлюється контакт безпосередньо з носієм інформації, проробляються способи легального й незаконного одержання документів, використання комунікативної системи організації і її каналів зв'язки;

- технічний канал представляє фізичний шлях одержання (копіювання) інформації від джерела зберігання до замовника. Використовуються спеціальні кошти передачі й копіювання інформації, що дозволяють одержувати її без контакту з носієм і сховищем.

При залученні цих каналів нарівні з організаційними заходами використовуються й технічні методи доступу до інформації; протидія спробам її висновку по обом каналам носить аналогічний характер. При необхідності також застосовуються спеціальні кошти й технології.

При проведенні переговорів за висновком договорів необхідно дотримувати додаткових вимог. Насамперед доцільно навести докладні довідки про контрагента, знать, що являє собою його організація. На першому етапі не слід давати йому якусь коштовну інформацію. Відповіді повинні бути максимально лаконічними. Не можна розкривати власні наробітки по темі переговорів. Не слід передавати контрагентові всю запитувану їм інформацію. Попередньо треба з'ясувати, з якою метою вона необхідна, як і ким буде використовуватися, як це може відбитися на результатах переговорів. У підсумковому документі обов'язково повинні знайти місце взаємні зобов'язання сторін по захисту інформації. Будь-яку конфіденційну зустріч бажане проводити в спеціально обладнанім приміщенні – «переговірної». Запрошені повинні здати персональні комп'ютери й мобільні телефони, іншу портативну електронну техніку. Не рекомендується відкривати вікна, піднімати (відсувати) штори, залишаючи незавішеними скла, підходити уводити, увести до ладу вікну під час переговорів. Звичайно таке приміщення обладнається спеціальної шумо- і звуковим захистом, а також електронним екрануванням. Доступ і попередній огляд такого приміщення контролює служба безпеки. Двері приміщення повинна бути подвійний, вона обладнається датчиком неповного закриття. У приміщенні не повинне бути міських телефонів, комп'ютерів, телевізора, радіоприймача, тобто приладів, що мають зв'язок із зовнішнім середовищем, що й не використовуються для технічного забезпечення ходу зустрічі. Якщо ведеться запис минаючої зустрічі, то вона здійснюється по прямій вказівці керівника. Чисті магнітні або інші носії для цієї мети видаються й вертаються використаними під розпис у відповідній обліковій формі. «Переговірна» періодично перевіряється на предмет виявлення незаконно встановлених коштів зняття інформації. У періоди між нарадами приміщення повинне бути закрите.

У практиці багатьох фірм часто переговори проводяться в місцях презентацій, на виставках і ярмарках. З одного боку, будь-яка публічна презентація або виставка стає джерелом корисних контактів і комунікацій, допомагає досягненню маркетингових цілей. З іншого боку – небезпечним каналом несанкціонованого одержання відомостей про організацію і її продукції, нових розробках і технологіях. Доступ до такої інформації одержують фахівці з конкуруючих організацій, у тому числі з використанням можливостей їх неформального спілкування зі співробітниками фірми, що працюють із експозицією, що організують презентацію. Тому з персоналом, що працюють на виставці або, що презентують розробки організації, проводяться заняття, на яких роз'ясняються правила спілкування з відвідувачами.

Регламентуються оголошувані відомості про технологічні й інші нововведення. Для участі у виставці направляються співробітники, що не володіють усією інформацією, здатні пояснити лише споживчі якості й призначення продукції, але не технологічні методи, за рахунок яких вони досягнуті. Фахівці, навпаки, не повинні брати участь у роботі виставочного стенда або коментувати презентаційні матеріали. Не допускається розголошення прізвищ провідних розроблювачів і технологів. Треба розуміти, що навіть такий контрольований канал поширення відомостей, як публічні й рекламні матеріали, ретельно аналізується конкурентами. У той же час рекламні буклети не можуть бути малоинформативны, у них повинні відбитися всі переваги й основні характеристики продукції. Тому вся друкована продукція, призначена для відвідувачів, повинна пройти строгу експертизу фахівців.

Можна використовувати метод розподілу інформації між матеріалами, призначеними для випадкових відвідувачів («аматорів») і для фахівців («експертів»). Ще більш строгому контролю треба піддавати публікації, що готуються, у ЗМІ з оглядом минулої презентації (виставки) і, при необхідності, жорстко відстоювати своє право захищати службову або комерційну таємницю від несанкціонованого розкриття.

Нові можливості для розкрадання інформації з'явилися одночасно з її нагромадженнями й обміном. Ще два десятки років тому ніхто й припустити не міг, що інформація буде викрадатися й знищуватися за допомогою програмного алгоритму комп'ютерів. А сьогодні комп'ютерні віруси – найтяжча хвороба електронного століття. Крім керован вибірков ініціюванн загибел інформаці, сучасн программы, що самовоспроизводящиеся, позволяют осуществлять удаленный несанкционированный доступ практически ко всем серверам и станциям, подключенным к чи Навряд найдеться хоча б один користувач або адміністратор мережі, який би жодного разу не зустрічався з комп'ютерними вірусами. Щомісяця до багатьом тисячам відомих вірусів додаються десятки їх нових штамів. Головним методом боротьби з ними залишаються антивірусні програми. У великих організаціях застосовуються також апаратні методи боротьби – усі офісні станції оснащують не тільки програмами захисту, але й спеціальними антивірусними платами. У великих організаціях немає прямого виходу в глобальну мережу. Її заміняє власний локальний Інтернет, а вихід в Інтернет є лише в декількох несистемних станцій і серверів. Але й таке обмеження не дає повної гарантії. Віруси проникають через програми, записані на CD, через мобільні телефони, іншими шляхами. Усе це говорить про серйозність проблеми захисту електронних коштів, переводячи Іт-Специалистов у число найважливіших профільних професіоналів комунікаційного менеджменту.

Серед нових професій фахівців з'явилася й зовсім вуж небажана спеціалізація. Мова йде про хакерів програми, що зламують, користувачів і в інформаційних системах. Ризики несанкціонованого доступу з'явилися попутно з технологічним проривом, що дозволили розв'язати фантастичне завдання створення глобальної комп'ютерної мережі. При цьому принципи «злому» комп'ютерів опираються на ті ж незмінні закони дії існуючих операційних систем, можна сказати, інтегровані в базові інтернетівські стандарти. Доводиться миритися з тим, що за чарівні переваги комунікаційного обміну по Інтернеті й легкий доступ до величезних інформаційних ресурсів доводиться розплачуватися високим ризиком втрати власної інформації. До цього додаються ті лиха, при яких інформаційний збиток наноситься не через злий намір невідомого хакера, а через елементарні помилки або ж неуважність користувача, що випадково видаляє або псує потрібну інформацію. Тому й штаті організації повинен бути фахівець-програміст, що допомагає збереженню й відновленню даних.

У комп'ютерних мережах організацій при конструюванні систем контролю доступу й розмежування повноважень користувачів найчастіше використовуються вбудовані кошти мережних операційних систем. Так, можливість кодування файлів, що пересилаються по мережі, з використанням принципу «відкритого ключа» (в алгоритмі RSA і з електронним підписом користувача), є в нових версіях Netware. Однак у такій системі організації захисту однаково не усувається фактор ризику – рівень доступу й можливість входу в систему всі так само визначається персональним кодом, паролем, який можна з'ясувати (підглянути, підібрати). Для виключення неавторизованого доступу в комп'ютерну мережу організації останнім часом стали використовувати комбінований код: пароль плюс персональний ключ, у якості якого може використовуватися пластикова картка або різні зчитувальні устрої для ідентифікації особистості за біометричною інформацією (райдужній оболонці ока, розмірам кисті рук, термообразу особи, відбитку пальців і т.д.).

У міру розширення обсягу або сфери діяльності організації, росту чисельності персоналу або появі більшого числа стратегічно близьких партнерів виникає потреба в доступі в локальну мережу вилучених користувачів (або груп користувачів). При цьому не тільки зростає навантаження на інформаційні ресурси організації, розташовані за традицією в головному її офісі, але й потрібні додаткові заходи по захисту переданих відомостей. Найчастіше для цього використовуються кабельні (загального користування, виділені на праві оренди, або приналежні організації) лінії й радіоканали. Із цією метою в маршрутизаторах вилученого до-. ступа застосовується сегментація інформаційних пакетів – їх поділ і одночасний передача по декільком (звичайно – двом) каналам. Перехоплення такої інформації утруднений, тому що хакер повинен з'ясувати координати цих каналів і синхронно підключатися до обом лініям. До того ж застосовується процедура стиску інформації (пакетування), що дуже утрудняє розшифрування перехоплених даних. Таким чином, вилучені користувачі бувають примусово обмежені в доступі до окремих сегментів мережних ресурсів головного сервера.

У якості методу захисту широко застосовується шифрування інформації або оборотне перетворення інформаційного документа, що захищається, у криптостистему. У цьому випадку питаннями захисту інформації від несанкціонованого доступу займаються криптографы – фахівці з кодування й декодуванню. Шифрування робить інформаційний ресурс, що важко розкриваються для сторонньої людини без знання їм спеціальної ключової інформації, під якою розуміється замінна частина криптосистеми, що є строго конфіденційної й визначальна алгоритм цифрових перетворень і доступ до нього законного користувача. Криптографія відома із прадавніх часів (згадаємо Коди Цезаря!) і переважно входить у сферу державної політики (військова інформація, дипломатична переписка, робота спецслужб і ін.). Однак з розвитком електроніки й кібернетичних теорій криптографы все частіше стали залучатися до комунікацій у недержавній сфері, особливо в політику й бізнесі. Основну суть криптографічних концепцій і технологій можна звести до двом постулатам:

- законний споживач інформації повинен мати можливість легко виконати зворотне перетворення й розшифрувати повідомлення;

- криптоаналитик незаконного одержувача інформації не повинен відновити оригінальну інформацію без таких витрат коштів і часу, які зроблять цю роботу недоцільної.

Ряд комп'ютерних фірм розробили й пропонують спеціальні устрої контролю доступу до комп'ютерних мереж по, що комутируються лініям. Наприклад, фірмою АТ&Т пропонується устрій-модуль RРSD (Remote Port Security Device), що представляє собою систему із двох приладів, один з яких (RPSD Lock) установлюється в центральному офісі, а другий (RPSD Кеу) підключається до модему вилученого користувача. У результаті встановлюються кілька рівнів захисту, зокрема:

- контроль доступу залежно від дня й часу доби;

- шифровка переданої інформації за допомогою генерируемых цифрових ключів.

Широке застосування приймально-передавальних устроїв і бездротових технологій привело до необхідності розбудовувати також системи захисту від хакерів, збройних різними сканерами й дешифраторами. Були знайдені ефективні технічні розв'язки; у деяких мережах інформація зазнає сегментації й передається по різних каналах і базовим станціям, що виключає несанкціоновану можливість знову інтегрувати її. Ведеться шифрування даних, передача їх на наддовгих хвилях та ін. И все-таки треба пам'ятати, що надійність захисту від несанкціонованого доступу до службової або особистій інформації в комп'ютерних мережах (як, втім, і в будь-якім сховищі інформації) ніколи не буває повністю гарантованої.

Дата добавления: 2014-01-04; Просмотров: 1049; Нарушение авторских прав?; Мы поможем в написании вашей работы!