Информация, которая подлежит защите на предприятии

Содержание:

Фотографирование информации

Получение информации путем фотографирования позволяет злоумышленникам оставаться незаметными. В настоящее время существуют объективы и фотоаппаратура, способные делать снимки на расстоянии нескольких сотен метров и в результате получать хорошо читаемое изображение. Фотографирование в инфракрасном диапазоне дает возможность получить данные с документами, в которые были внесены исправления и даже восстановить информацию при чтении обгоревших документов. Фотокамера может быть вмонтирована в часы, замаскирована под кошелек, зажигалку, портсигар, а новейшие устройства выполняются в виде пластиковых карт. 

Внутренние угрозы

Дестабилизация ситуации в регионах с напряженной социально-политической обстановкой, организованная в местах дислокации подразделений, частей или технических баз ВС РФ.

Направленное психологическое воздействие на моральный дух личного состава, реализованное в попытках фальсификации исторических событий; создание социальной напряженности, попытки втянуть войсковые соединения в политические конфликты.

Создание внутри подразделений определенных групп, выполняющих задачи, поставленные внешним руководством. Одним из опасных случаев такого влияния является внедрение радикального исламизма. Военнослужащие, прошедшие психологическую обработку, начинают считать себя членами религиозной общины, а не бойцами российской армии.

Все виды внутренних угроз создают опасность утечки информации любого типа. Независимо от того, производится информационное воздействие на всех военнослужащих данного соединения или выполняется обработка одного бойца, возможность несанкционированного доступа к информационным базам существенно возрастает. Люди, поставленные в определенные условия и должным образом замотивированные, способны создавать серьезные проблемы. 

Исследователи Gartner утверждают, что 60% людей способны пойти на преступление под гнетом обстоятельств. Определить сотрудников из групп риска помогает автоматизированный профайлинг. Узнать подробнее.   

Человеческий фактор создает опасность для различных систем:

  • комплексы координации и управления;
  • каналы военной связи;
  • оборудование космического базирования и ядерные объекты.

Вторжение враждебных сторон в системы управления относят к наиболее опасным угрозам. Примером подобного воздействия может служить крушение аппарата «Фобос-Грунт», вероятной причиной которого руководство Роскосмоса назвало перехват контроля по техническим каналам. Подобное мероприятие невозможно без участия собственных сотрудников центра управления полетами.

Опасным последствием действий внутренних факторов может стать искажение данных, намеренное внедрение ложной информации. Если подобную атаку предпринять на центр ПВО (противовоздушной обороны), возникнет угроза развязывания военного конфликта, вплоть до ядерного удара. Подобные прецеденты уже имели место. Известны случаи, когда в подразделениях ПВО или ракетных частях отмечались ложные сигналы о пуске ракет или о появлении летательных аппаратов вероятного противника. Происходил перехват показаний систем слежения (радаров). Сегодня такая опасность уменьшена, но полностью ее устранить пока не удается.

Превентивные меры воздействия

Эффективные методы борьбы предполагают использование превентивных мер, направленных на дезинформацию противника. Создаются условия, исключающие успешное проведение враждебных кампаний. 

В числе превентивных мероприятий:

  • предоставление противнику дезинформации о способах защиты данных;
  • уничтожение технических средств коммуникации, физических носителей данных;
  • создание помех для информационных систем противника;
  • поиск очагов поддержки противника на территории России, уничтожение и нейтрализация этих точек;
  • разведывательная деятельность с помощью доступных средств;
  • оказание психологического давления на войска противника.

Эти действия позволяют дезориентировать подразделения по информационной борьбе, действующие в армии противника. Мероприятия проводятся в непрерывном режиме. Основной их целью является разрушение планов противника еще до момента их реализации.

Сведения, которые не считаются конфиденциальными

Сведения не считаются секретной информацией, если они внесены в свидетельство о регистрации предприятия, лицензию или учредительные документы.

Конфиденциальной информацией не являются данные об имуществе компании, кадровой политике и способах оплаты труда. Не считаются тайной также любые данные, занесенные в каталоги и прайс-листы.

Руководство предприятия не должно засекречивать сведения о наличии вредных производственных факторов. Оно несет ответственность за сокрытие информации о несоблюдении экологических и санитарных норм.

Открытой информацией являются также данные о проведении на предприятиях тендеров и конкурсов с целью подписания контрактов и набора новых сотрудников.

К секретным сведениям не имеют отношения данные о финансовой деятельности некоммерческих организаций.

Основные проблемы защиты информации

Личные данные пользователя Сети, прежде чем доходят до конечного пункта, проходят через множество серверов и маршрутизаторов. Передача данных по незащищенным каналам дает мошенникам возможность перехватить или видоизменить первоначальные данные.

Выделяют три основных категории проблем, связанных с защитой данных в Сети:

  • нарушение конфиденциальности; 
  • искажение информации;
  • нарушение исключительных прав на контент.

Под защитой конфиденциальных сведений подразумевается отсутствие доступа к информации у посторонних лиц. Искажение информации происходит путем преобразования исходного сообщения или замены данных другой информацией. Нарушение исключительного права на контент выражается в подмене авторства или использовании информации без соответствующего разрешения.

Вербовка сотрудников

Вербовка и подкуп сотрудников – часто длительный процесс. Агенты конкурирующих фирм могут месяцами собирать информацию о работнике, членах его семьи. Это позволяет найти наиболее эффективный способ сотрудничества и сделать из такого сотрудника собственного агента, работающего в интересах конкурирующей фирмы. Нередко для склонения инсайдера к сотрудничеству собирают компрометирующие сведения, используют угрозы, психологическое воздействие, грубые и агрессивные методы запугивания. 

Также нередки случаи использования мягких способов получения засекреченных данных. Злоумышленники, стремясь подступиться к специалисту, могут работать не напрямую, и передавать денежные средства через сторонних лиц и даже известных личностей, занимающихся общественной деятельностью. 

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.  

Полномочия Роскомнадзора:

  • может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
  • может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
  • может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
  • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
  • рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит устрашающей на фоне общего числа операторов в реестре – 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2017 год составила 4 068 500 рублей.

Средства, используемые для обеспечения сохранности данных

Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.

Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.

Идентификация

Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.

Аутентификация

Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.

К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.

После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.

Протоколирование

Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.

Аудит

Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.

Экранирование

При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.

Использование защищенных коммуникационных каналов

Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.

Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.

Заключение

Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания

Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам

К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.

В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.

Рекомендации по организации информационной безопасности в частном секторе

Самостоятельно создать полноценную защиту информационных ресурсов малому или среднему бизнесу сложно. По оценке специалистов IT-TEAM SERVICE, на долю частного сектора приходится около 8 % от общего объема услуг организаций, специализирующихся на информационной защите. Однако сейчас, когда даже малый бизнес немыслим без точек удаленного доступа, мобильных технологий и платежных систем, защита персональных данных индивидуального предпринимателя и клиентов становится жизненной необходимостью. 

Рекомендации для сокращения затрат на информационную безопасность:

  1. При невозможности установить программное обеспечение высокого класса можно привлекать экспертов в области информационной безопасности для аудита имеющегося ПО и консультаций по созданию персональной защиты. 
  2. Предпринимателю необходимо организовать регулярный мониторинг кибербезопасности на предприятии, научиться самостоятельно определять угрозы и уязвимости.
  3. Планы по созданию или расширению бизнеса должны предусматривать обеспечение безопасности информационных ресурсов, чтобы еще на начальном этапе конкуренты не перехватили идею или не помешали развитию предприятия. 
  4. Заниматься самообразованием: самостоятельно изучать нормативно-правовую базу в области информационной безопасности, проблемы, с которыми сталкивались индивидуальные предприниматели, по правовым вопросам консультироваться у юристов, специализирующихся в данной сфере.

Консультация эксперта, возможно, не защитит от проблем, уже возникших из-за долговременного пренебрежения защитой информационных ресурсов, но выявит проблему и поможет избежать подобных ситуаций в дальнейшем.

Многие компании разрабатывают собственную внутрикорпоративную политику в отношении кибербезопасности, которой должны придерживаться все сотрудники. Часто в нее включаются пункты, полностью регламентирующие поведение пользователя, например: 

1. Сотрудники не могут рассчитывать на конфиденциальность информации, отправляемой и получаемой с помощью компьютерного оборудования компании. Руководство имеет право проверять всю входящую и исходящую информацию.

2.Компьютеры являются собственностью компании и могут использоваться сотрудниками исключительно для работы. Запрещается копировать файлы без согласования с владельцем информации. 

3. Сотрудникам настоятельно рекомендуется соблюдать требования системного администратора по установке и обновлению программного обеспечения.

4. Вся информация, исходящая от имени сотрудников юридического отдела компании, должна содержать в нижнем колонтитуле на каждой странице пересылаемого документа заверительную надпись: «Защищено адвокатским правом. Без согласования не копировать и не пересылать».

5. Пользователь несет полную ответственность за сохранность своих паролей. Запрещается их распечатывать и хранить в доступном месте.

6. Запрещено пересылать по электронной почте и размещать в сети с компьютеров компании клеветническую, оскорбительную, угрожающую или противозаконную информацию.

Методы защиты от копирования

Для защиты от несанкционированного получения сведений, хранящихся на ПК, используют следующие методы:

  • организационные;
  • правовые;
  • технические.

Организационный метод защиты предусматривает невозможность эксплуатации защищаемой программы без соответствующей технической поддержки со стороны компании-производителя. Скопированная программа может не запускаться на персональном компьютере или выдавать ошибки в процессе работы.

В основе правового метода лежит законодательная база, предусматривающая различные меры ответственности за использование в работе нелицензионных программных продуктов, контрафактных баз данных, взлом системы защиты. Также правовая защита подразумевает лицензирование ПО. Программе присваивается индивидуальный серийный номер, и все права по использованию и перепродаже закрепляются за правообладателем.

Применение технических способов защиты от несанкционированного доступа зависит от места хранения защищаемых файлов. Они могут храниться в оперативной памяти ПК, на гибких (ГМД) или жестких (ЖМД) магнитных дисках. Более других подвержена риску копирования информация, хранящаяся на ГМД. Именно этот вид кражи сведений имеет масштабное распространение, а способы защиты отличаются от методов обеспечения безопасности данных, хранящихся на оперативных запоминающих устройствах (ОЗУ) или ЖМД.

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

  • разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
  • проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
  • разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
  • внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Что такое ИБ-аутсорсинг и как он работает? Читать.

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

  1. Всесторонний анализ имеющихся информационных ресурсов.
  2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
  3. Внедрение средств защиты.
  4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

  • составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
  • определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
  • используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
  • составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
  • создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?  

Основными задачами ИБ-службы являются:

  • общая техническая защита информации;
  • исключение доступа и несанкционированного использования конфиденциальных данных;
  • обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

  • криптографическая защита информации (шифрование);
  • использование электронной подписи для подтверждения авторства доверенного пользователя; 
  • резервное копирование баз данных и операционных систем;
  • создание системы паролей для идентификации и аутентификации сотрудников;
  • контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
  • применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
  • установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

  • Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
  • Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
  • Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
  • Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

  • предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
  • предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
  • клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

  1. Уведомление об обработке ПДн (для Роскомнадзора).
  2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
  3. Согласие субъекта на обработку его персональных данных.
  4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
  5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
  6. Документы по организации приема и обработки обращений и запросов субъектов.
  7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

  1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
  2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
  3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
  4. Разграничить права доступа к ПДн в ИС.   

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

  • средства защиты от несанкционированного доступа;
  • антивирусные программы;
  • межсетевые экраны;
  • криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России

Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.

Примеры преступных действий

Действия злоумышленников могут иметь различные формы. Наиболее распространенные схемы неправомерного использования информации:

В любом случае для совершения преступления злоумышленникам надо получить доступ к информации. Учитывая это условие, необходимо усилить систему безопасности предприятия с помощью следующих мер:

  • ограничение доступа пользователей к исполнительным модулям (в данном контексте это все устройства, несущие информацию и позволяющие скопировать, обработать или уничтожить ее разными методами). Вводится система допусков, разделяющая сотрудников по уровню доверия и ответственности за использование данных;
  • тестирование и сертификация ПО, используемого подразделениями предприятия;
  • немедленное исправление или удаление обнаруженных ошибок или сомнительных функций программного обеспечения;
  • усиление методов аутентификации и идентификации клиентов, совершенствование защиты удаленного доступа клиента от вторжений посторонних лиц;
  • полное уничтожение информационного мусора предприятия, как физического (отработавшие документы), так и электронного;
  • защита от хакерских атак. 

Приведенный перечень мер по усилению технической защиты информации нельзя назвать исчерпывающим, поскольку злоумышленники используют новые технические средства и методики. Мероприятия, проводимые для обеспечения безопасности данных, должны соответствовать уровню технической и теоретической оснащенности мошенников. Необходимо регулярное обновление технической базы, оборудования и ПО. Допускать отставание в этих направлениях нельзя, поскольку это равноценно отсутствию технической защиты информации на предприятии.

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

Способы доступа посторонних к сведениям

Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля. 

Возможные варианты получения незаконного доступа:

  • подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства);
  • хищение документации, в том числе ее копирование (тиражирование) с враждебными целями;
  • непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию;
  • внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения;
  • использование сотрудников компании (инсайдеров) в качестве источников сведений.

По данным Gartner, 60% людей готовы пойти на преступление под гнетом обстоятельств. Узнайте, на что способны ваши сотрудники с помощью СёрчИнформ ProfileCenter».  

Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.  

Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних. 

Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде. 

Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.  

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector