Контрольная работа Контрольная работа по Информационной безопасности предпринимательской деятельности
Работа добавлена на сайт bukvasha.net: 2015-10-25Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ТОРГОВО-ЭКОНОМИЧЕСКИЙ
УНИВЕРСИТЕТ
Кафедра экономики и управления в сфере услуг
КОНТРОЛЬНАЯ РАБОТА
по
дисциплине
«Информационная безопасность предпринимательской деятельности»
Москва 2011
Добывание сведений через персонал
С морально-этических позиций выведывание интересуемых сведений в процессе общения с людьми, которые должны сохранить их в тайне, трудно оправдать. Исключение составляют немногочисленные случаи самопроизвольных (глупцы и болтуны) и преднамеренных (по инициативе собеседника) высказываний, при этом ответственность ложится на тех, кто не хочет держать язык за зубами.
В общении любой может оказаться как в роли "разведчика" (в случае появления желания что-либо узнать), так и "объекта" (когда появляется подозрение о нездоровом интересе к вашей информированности), поэтому нелишне иметь самое общее представление о наиболее распространенных приемах выведывания информации в повседневной жизни.
Приведенные ниже приемы не позволят обычному человеку стать специалистом по выведыванию конфиденциальных сведений, но при аналитическом подходе к себе позволят выявить слабые стороны в своем поведении и избежать простейших ошибок и превращения в "объект добывания информации".
Возможно, что эти представления помогут выбрать правильную тактику поведения в складывающемся общении с теми или иными людьми. Более того, в нижеизложенном материале читатель обязательно узнает приемы, с помощью которых он или другие лица пытались расширить свою информированность, возможно, эти приемы напомнят вам некоторые эпизоды из вашей жизни.
Выведывание информации может осуществляться путем целенаправленного общения - по служебным вопросам, при обсуждении деловых предложений, взаимного сотрудничества, на совещаниях, презентациях, отдыхе, в организованных ситуациях (внезапный ремонт, оказание помощи, защита от угрозы и пр.). Известны специалисты в области общения с особыми навыками ведения разговора, способными "вытянуть" нужные сведения у собеседника, "разговорить" его.
Существенно влияют на ход и результаты беседы фоновая обстановка, предшествующие события, настроение и подготовленность собеседников. Существенным элементом подготовки является сценарий общения, который должен позволить затронуть интересуемые вопросы, не раскрывая истинной цели беседы и обеспечить уход от возможных подозрений. Важную роль играет легенда - вымышленные цель беседы и сведения о лице, выведывающем необходимые сведения.
В процессе выведывания, что иногда называют "получением информации втемную" главная роль отводится воздействию на подсознательные сферы психики человека, которые присутствуют во всех психических процессах - восприятии, мышлении, памяти и т.д. Инициация высказываний собеседника на интересуемые темы базируется на использовании ассоциаций, чувства личной значимости, эмоционального стресса. В памяти любого зрелого человека есть случаи, когда он вопреки намерениям непроизвольно проговаривался или совершал нежелательные действия в различных ситуациях общения.
В общении с тщеславными и честолюбивыми собеседниками эффективно использование чувства значимости человека. Эти приемы могут принести успех при общении с большим числом собеседников, так как людям свойственно стремление сохранять и повышать свой престиж, отстаивать свое мнение. Большинство зрелых людей имеют некоторый опыт их использования или интуитивно предполагают такие возможности.
Систематизируем разновидности приема, используемые, исходя из складывающейся ситуации
.
Обращение к престижности путем выражения уважения, заинтересованности, понимания важности роли и положения собеседника, восхищенного удивления достижениями или степенью осведомленности в процессе высказываний собеседником по интересуемой теме. Это стимулирует его удерживать направление разговора и приводить все новые сведения, факты и цифры. При уходе темы в сторону интенсивность почтительных и поощрительных высказываний плавно снижается, что способствует возвращению к прежней тематике. Демонстрируемое уважение сопровождается соответствующими действиями - представлением приоритетов в движении, лучшего места, первоочередным обслуживанием, выгодным сравнением с другими лицами. В процессе разговора следует не забывать о чувстве меры и недопустимости перенасыщения собеседника - в сочетании с темой разговора "перебор" может привести к подозрительности. При разработке легенды нужно учитывать, что лесть солидного человека, пусть даже грубоватая, ценится выше лести "маленького человека".
Проявление равнодушия к высказанному собеседником сообщению, новости, факту, подчеркивание их незначительности, никчемности приводит к проявлению эффекта психологической инерции, при этом степень желания продолжить, развить тему, пропорциональна демонстрируемому равнодушию. Пренебрежение к затронутой собеседником теме подсознательно переносится на его личность, с целью восстановления престижа он стремится убедить в важности темы, аргументируя данными, которыми в другой ситуации не предполагал бы сообщать.
Особенностью применения этого приема является предварительный вывод собеседника на интересуемую тему или ожидание его желания высказаться, в
чем заключается некоторая неудобная пассивность. Чтобы собеседник не терял желания выговориться из-за боязни разглашения конфиденциальных сведений должна поддерживаться атмосфера доверительности и знакомства с темой.
Проявление недоверия к высказанным сведениям в большей степени, чем равнодушие затрагивает и оскорбляет личное достоинство собеседника, вынуждает его защищаться. Недоверие может иметь оттенок насмешки, легкого оскорбления или обвинения. Расчет заключается в побуждении к аргументированной защите, отстаиванию высказанного путем изложения дополнительных сведений, которые могут быть интересными.
Для высказывания недоверия необходимо обозначить общую осведомленность, знакомство с проблемой, наличие опыта в действиях в аналогичных ситуациях, тем самым повышается доверительность и значимость реабилитации обвиняемого. В то же время, высказываемое недоверие не должно лишать оппонента перспективы успешной защиты, возможности восстановления престижа. Напротив, если собеседник оказывается в излишне затруднительном положении, то ему следует помогать, снижая степень недоверия или находя его высказывания частично допустимыми, подсказывать возможные пути защиты. При этом собеседник по своему положению в обществе должен быть равным или занимать более низкое положение.
Проявление участия целесообразно демонстрировать, если известно о неудовлетворенности собеседника решением каких-либо личных проблем, его затруднительном положении, конфликтах с коллегами или руководством. Создание видимости или проявление искреннего внимания, сочувственного понимания ситуации, демонстрация единомышления ведут к возникновению чувства благодарности, часто сопровождаемого откровением и соответствующим снижением ограничений по высказываниям на интересуемую тему.
С этой целью в процессе беседы полезно обозначить какие-либо элементы общности с собеседником. Ими могут быть общие взгляды на те или иные вопросы, былое совместное сотрудничество, одинаковые достижения и ошибки, увлечения, болезни, схожие ситуации в личной жизни и другие. Успешному выведыванию способствуют факты или иллюзии хоть малейшего улучшения ситуации или морального состояния собеседника.
Кроме воздействия на чувства значимости широко известен прием ведения разговора на смежную тему, который оживляет в подсознании определенные образы и способствует соответствующим им непроизвольным высказываниям на интересуемые темы. Сложность такой беседы заключается в определении интереса к ней со стороны собеседника. Если смежных тем несколько, то должны быть предусмотрены логические переходы между ними. Близость смежной темы к интересуемому вопросу должна исключать
подозрения. При удачно выбранной теме общения, возникающие ассоциации будут способствовать высказываниям собеседника на интересуемую тему.
В отдельных случаях можно добиться высказываний по интересуемому вопросу путем демонстрации символов, вещей, явлений, оживляющих в памяти собеседника соответствующие образы и побуждающих к неожиданным для него высказываниям.
Основанием для таких непроизвольных проговоров являются ассоциации видимых образов с фрагментами конфиденциальной информации, хранящейся в памяти собеседника. Ассоциативное взаимодействие идет на подсознательном уровне и часто не может контролироваться человеком. Демонстрация должна проводиться естественно, взаимоувязано с процессом общения, не вызывая удивления, которое может вызвать подозрение.
Кроме подготовки легенды и выбора приема получения информации втемную, сценарий должен предусматривать привычные для собеседника условия общения. Предлог для общения, представление, форма разговора и характер его завершения должны удерживаться в рамках, свойственных представителям социальной или профессиональной группы собеседника. Разговор должен начаться и закончиться неконфиденциальными вопросами, интересными собеседнику. По ходу беседы изменения темы должны иметь логичный характер, исключая прямые вопросы на конфиденциальную тему.
Другим условием успешности выведывания является наличие располагающих для беседы факторов, например свободного времени, привычной обстановки, отсутствие видимых угроз и возможная выгода, личностные мотивы и симпатии. Как известно, в мужской компании существенным фактором ускорения взаимопонимания и ослабления подозрений является употребление всевозможных напитков. Какое же взаимопонимание без этого!
Однако, применение спиртного требует разумного нормирования. "Перебор" напитков исключен на стадии общения на интересуемую тему, но возможен в конце встречи для "стирания" в памяти собеседника предшествующих деталей разговора. В этой связи предложение напитков и закусок должно искусно регулироваться. С учетом возможных опасений за качество напитков следует предусмотреть безопасный способ приобретения напитков, а также приемлемую причину их появления в процессе беседы.
Другими формами выведывания интересуемых сведений является использование таких человеческих качеств, как алчность, боязнь, безразличие в условиях депрессии, мстительность, национализм, религиозность, легкомысленность. Существуют и могут быть использованы и более жесткие формы добывания информации - психическое (шантаж), физическое воздействие (пытка) и другие интенсивные формы допроса.
Независимо от уровня подготовки человека, ведущего беседу и качества разработки всех элементов сценария, успешное добывание сведений
возможно только при предварительном изучении собеседника, знании сферы его профессиональной деятельности, круга должностных обязанностей, связей, образования, наклонностей и привычек, основных черт характера, семейного положения и даже политических взглядов.
Сбор предварительной информации требует определенного времени, источниками нужных сведений могут быть массивы персональной информации государственных и коммерческих организаций и учреждений (милиция, образовательные и медицинские учреждения, учреждения социального обеспечения), предприятия обслуживания (коммунальные, торговые, связи, транспортные) и многие другие организации, которые, так или иначе, регистрируют сведения о населении.
Требования законодательства РФ об охране персональных данных, к сожалению, далеко не всегда выполняются ввиду неосмотрительного поведения служащих, возможности реализации их корыстных целей, отсутствия средств на защиту информации в социальных учреждениях.
Большим объемом информации обладают окружающие, к которым относятся соседи, сослуживцы, родственники. Нам свойственно верить в доброе, и многие люди стремятся помочь обращающимся к ним за любой помощью. Ну, как не помочь старому другу детства, наладчику вновь приобретенной бытовой техники, судебному приставу, сотруднику какой-то на слух знакомой организации или просто располагающему к себе человеку? При изложении благовидного предлога интереса к конкретному человеку соседи, особенно пожилого возраста, могут охотно поделиться такими сведениями как фамилия, имя, отчество интересуемой личности, состав семьи, обычный график присутствия дома, наличие автомобиля и место его парковки и многими другими эксклюзивными сведениями.
Сослуживцы расскажут о профессиональной направленности, деловых качествах, рабочем графике. Из домочадцев наиболее общительны дети и представители старшего поколения, у которых можно узнать о временном распорядке, привычках и увлечениях. Порой в течение суток, используя личные контакты (что менее желательно) и всевозможные средства связи, удается собрать необходимые сведения о конкретном человеке и его окружении.
Иногда о человеке известно лишь одно - он владеет интересуемой информацией. Спросить о нём, узнать фамилию, должность, адрес по каким-то причинам нет возможности. Выход один - негласно провести его домой или на работу, чтобы получить какие-то дополнительные исходные сведения, например, домашний адрес или место работы. Наружное наблюдение за подопечным осуществляется пешком или на автомобиле, если объект наблюдения пользуется персональным автотранспортом. В большинстве случаев государственный номер автомобиля позволяет быстро выйти на личность владельца, путей обращения в ГИБДД довольно много.
Как отмечается в журнале International Security Revier, последние тенденции в развитии бизнеса на Западе все чаще вызывают озабоченность специалистов в области безопасности. Компании тянут с оплатой товаров и услуг до самого последнего момента, подставляя тем самым субподрядчиков, а угроза сокращений штатов и увольнений приводит к потере лояльности со стороны сотрудников, легко становящихся добычей собирателей внутрифирменной информации.
Результаты этих процессов нетрудно предсказать: когда
информация слабо контролируется и редко ревизуется, уязвимость фирмы повышается. Термин "промышленный шпионаж" впервые был сформулирован в начале 60-х годов на семинаре по методам сбора информации для руководящего состава, органиэованном фирмой Маnadgемеnt Invеstigаtion Сеrviсеs. Однако на самом деле еще в древние века римский император Юстиниан совершенно разрушил торговлю китайцев знаменитым шелком на Ближнем и Среднем Востоке, похитив у них гусеницу тутового шелкопряда. В 70-х годах прошлого столетия Рокфеллер, применив классические методы шпионажа, перехитрил своих конкурентов в погоне за нефтью в США.
Некоторые говорят, что успешно проведенные акции промышленного шпионажа ведут к получению незаконных преимуществ над конкурентами, которым иногда приходится тратить миллионы на проведение научно-исследовательских работ и в итоге к увеличению армии безработных. Однако следует ли считать промышленный шпионаж таким ужасным преступлением в мире рыночных отношений, где правит конкуренция и где каждый с неизбежностью становится победителем или побежденным. "Проколы " безопасности фирм на Западе нередки, однако руководство обычно стремится быстро замять дело, чтобы избежать огласки и не ставить под удар свою репутацию. Обычная позиция руководителя фирмы: "Со мной это никогда не случится", -очень часто подводит его самого, его работников, клиентов и акционеров. На фирмах редко проявляют серьезное отношение к
угрозам со стороны спецслужб других государств, причем спецслужб даже "дружественных" стран. Руководство фирм игнорирует возможность шпионажа со стороны конкурентов, не интересуется методами негласного сбора информации, а безопасность до сих пор
считается объектом накладных расходов и не рассматривается в качестве объекта инвестиций в защиту ценностей и ресурсов.
Когда проблема все же возникает, от нее стараются отделаться одним ударом. Политическая философия 80-х годов внесла большой вклад в
разрушение лояльности, гордости и самодисциплины сотрудников фирм. Некогда сильный "корпоративный дух" сегодня сгорает в котле
индивидуализма рыночных отношений. Работник, затаивший обиду на своего начальника, представляет собой наибольшую угрозу
информационной безопасности, однако это в наименьшей степени осознается руководством компаний. В наши дни размеры "информационной биржи", где люди занимаются куплей-продажей информации, значительно расширились, причем продажа нелегально
добытых сведений не является чем-то совсем необычным. О деятельности брокеров на такой бирже по понятным причинам мало что известно, но то, что описано ниже, весьма характерно для сегодняшней действительности. В январе 1993 г. за мошенничество в
отношении фирмы Вritish Реtrоlеum (ВР) были задержаны и оштрафованы два преступника. В деле были замешаны одна немецкая и одна японская фирма, которые работали вместе с целью получения прибыльного контракта в Северном море. Главными фигурантами в
этом деле были Жрайбар и Сорелли. Жрайбар занимался упомянутыми фирмами, а Сорелли подготавливал контракты от лица фирмы ВР. Руководство ВР было уверено в том, что ему удалось создать надежную систему обеспечения информационной безопасности при
эаключении контрактов. Согласно установленному порядку предложения участников торгов должны были подаваться в запечатанных конвертах, для работников был жестко разграничен
доступ к информации в соответствии со служебной необходимостью. Однако если одному из участников торгов удавалось разузнать больше, чем другим, то вся система торгов сразу же становилась скомпрометированной. Заведенный на фирме порядок проведения
торгов редко изменялся, многие процедуры не были защищены от действий нелояльных по отношению к фирме и недобросовестных сотрудников. Работники имели доступ к картотекам, оставленным на рабочих столах или в незапертых шкафах. Добытую информацию они передавали Сорелли, а тот - Жрайбару. Последний продавал ее
участникам торгов. Указанные лица попались после проведения специальной операции фирмой Sеrious Frud Оffice против "информационных брокеров" в нефтяной промышленности. Фирме ВР был нанесен ущерб в несколько миллионов фунтов стерлингов. Оценивая правовой аспект промышленного шпионажа, журнал отмечает, что во
всех странах Европейского союза нет законов, напрямую трактующих промышленный шпионаж в качестве противоправного деяния. Так, в Великобритании парламенту еще только предстоит признать промышленный шпионаж преступлением, хотя в этой стране существует
с десяток законодательных актов, регулирующих те или иные стороны информационной безопасности. Однако попытки принять закон "О промышленной информации" в 1968 г. и "О злоупотреблении доверием" в 1981 г., в которых были даны определения понятий "промышленный шпионаж" и "угроза выведывания путем инсценированного интервью",
успехом не увенчались. В то же время в ряде штатов США промышленный шпионаж законодательно считается преступлением.
Основной движущей силой промышленного шпионажа в рыночном обществе всегда была конкуренция. Все конкурирующие между собой фирмы располагают сведениями, которые обычно бывает легко узнать
из отраслевых периодических изданий, газет, в ходе обычных деловых контактов. Однако некоторые данные фирмы всегда стремятся сохранить в тайне. Это сведения, за которыми охотятся конкуренты: технологические процессы, стратегии маркетинга, результаты
научно-исследовательских и опытно-конструкторских работ - обычные цели промышленного шпионажа. Именно эти сведения должны быть четко определены и надежно защищены от хищений и несанкционированного доступа. Чем больше такой информации, тем
острее стоит проблема обеспечения безопасности. Промышленность в самое последнее время только-только по-настоящему начинаетсталкиваться с угрозой промышленного шпионажа.
Промышленные шпионы обычно применяют старые как мир методы сбора информации, давным-давно стоящие на вооружении государственных спецслужб. В
английской терминологии разговор идет о следующем. Клиент в традиционном шпионаже это государство, в промышленном - конкурент. Клиент определяет потребности в информации, устанавливает сроки решения задач и распределяет финансовые
ресурсы. Разведчик талантов - ключевой элемент любой сети шпионажа. Разведка талантов - это особое искусство, искусство проведения глубоких исследований, терпеливого наблюдения и выдержки. Известны различные способы вербовки агентов. Очень
важно правильно установить область проникновения и затем подобрать подходящих кандидатов. Изучение образа жизни человека позволяет выявить сильные и слабые стороны его характера, и эти знания могут быть потом использованы для работы с ним.
Естественно, один, давший добровольное согласие на сотрудничество, стоит десятка согласившихся под нажимом. В бизнесе таким человеком обычно бывает недовольный работник, затаивший злобу на свое начальство. В сегодняшней ситуации вербовать таких людей облегчают эрозия лояльности, потеря стабильности, неудачно сложившаяся карьера, отсутствие удовлетворенности своей работой.
Методы вербовки - игра на авантюризме, на самолюбии, на тщеславии, на желании самоутвердиться в глазах окружающих, на лести со стороны "друзей". Один из методов подбора кандидатов на вербовку -инсценированное интервью якобы с целью поиска кандидатов на
престижную работу. Кандидата подробно расспрашивают о его работе и достижениях, это всегда тешит самолюбие человека. Еще один подход - шантаж. В этом случае никак не обойтись без изучения личности, выявления ее слабых сторон, которые затем можно эксплуатировать. Обычно это сексуальные привычки человека или его проступок, который он во что бы то ни стало хотел бы скрыть от окружающих. И, наконец, старое как мир средство вербовки -
деньги. Вербовщик осуществляет руководство агентом обычно по принципу "один на один". Он предоставляет ресурсы, оказывает моральную поддержку, собирает информацию и принимает решения по операциям. Вербовщик должен сохранять дистанцию с агентом,
придерживаясь сугубо деловых отношений.
Нередко совместная работа в условиях постоянно нависающей угрозы разоблачения становится причиной возникновения очень близких отношений между вербовщиков и агентом. Считается, что это может повредить делу. Существуют два типа агентов - легальный и нелегальный. Первый обладает
полным правом находиться на фирме, в которую осуществляется проникновение (другими словами, он является сотрудником фирмы). Второй же внедряется в нее обычно под видом другого лица. Агент-нелегал не типичен для промышленного шпионажа. Хотя справедливости ради, нельзя не упомянуть об одном классическом случае конца 80-х годов, когда фирма Nаtiоnаl Саг Рагks(NСР) стала испытывать серьезные неудобства со стороны фирмы Еurораrk. У NСР возникло подозрение, что Еurораrk внедрила в нее своего агента, и NСР наняла фирму КАS Еntеrрrises для выяснения обстановки и организации противодействия. Фирма КАS решила использовать для выполнения задачи бывших сотрудников спецназа. Следует отметить, что люди этой категории - не всегда самый
хороший выбор для выполнения такого рода задач. На работу в фирме Еuroраrk был направлен "липовый" дежурный по автостоянке, который вел подробную регистрацию всех перемещений директоров фирмы и просматривал их корзины для бумаг.
Позднее в Еuroрагk были внедрены еще два агента, которые занялись снятием копий с документов, фотографированием сотрудников и пр. Но и это мало что дало. В мае 1989 г. КАS наткнулась на женщину, бывшего армейского офицера, которая искала интересную и немонотонную работу. После небольшой спецподготовки она, пользуясь подложными документами,
получила место в офисе старшего директора Еurораrk и начала передавать информацию делового и личностного характера обо всем происходящем на фирме. Случилось так, что фирма КАS начала испытывать финансовые затруднения и стала разваливаться.
Женщину-агента "сняли с довольствия" в NСР, а в 1990 г. ее руководитель сообщил обо всей операции в газете "Санди Таймс". Это сообщение ускорило
полицейское расследование, которое в 1993 г. завершилось оправданием по обвинению в мошенничестве, поскольку Еurораrk материального ущерба в результате проведения этой операции не понесла. Фирма NСР приобрела Еurорагk за 5 млн. ф. ст., куда вошла компенсация директорам последней фирмы. Во время разбирательства этого дела судья сделал такое заключение: "Промышленный шпионаж - не преступление, нарушение пределов владения - не преступление, каковым не является и внедрение".
Поскольку агента всегда можно перенацелить, агентурный шпионаж и поныне остается предпочтительным методом негласного сбора информации. Однако существуют и другие методы. Создается впечатление, что промышленность лишь совсем недавно стала
по-настоящему осознавать опасность, которую таят в себе телефоны подвижной связи, факсы и ксероксы. Последние исследования показывают, что, в то время как преступники успешно применяют радиосредства мгновенной пакетной передачи данных, не раскрываемые позывные и системы засекреченной передачи речи, бизнесмены,
политические деятели и полицейские ведут переговоры открытым текстом по незащищенным сетям связи. Очень часто отличные результаты давала установка в помещениях электронных подслушивающих устройств - радиозакладок, хотя их применение
осложняет проблема внедрения в нужное место, и к тому же даже успешно установленное устройство может просто выйти из строя. Множество фирм продают прекрасные системы поиска закладок. В умелых руках эти системы позволяют обнаруживать закладку почти в
100% случаев. Более того, обнаруженное устройство может быть использовано в целях дезинформации установившего его лица. Несколько лет назад глава одной из враждующих фирм иэ опасения подслушивания со стороны другой фирмы дал поручение своему отделу
безопасности провести электронную "стерилизацию" зала для конфиденциальных заседаний. Зал был надлежащим образом проверен, ничего не было найдено. Сотрудники безопасности настояли на введении жестких мер контроля доступа в зал, убрали из него все
кроме стола и стульев и установили автоматическое электронное устройство (сканер) для поиска скрытых радиопередатчиков. Едва началось первое заседание, сканер, подал сигнал
тревоги. Руководитель вызвал сотрудников безопасности и заставил еще раз проверить зал. Зал проверили, ничего не нашли. Как только люди вновь вошли в зал, сканер вновь подал сигнал. Опять вызвали сотрудников безопасности. На этот раз логика подсказывала
проверить зал, когда в нем находятся люди. Сразу отыскали сотрудника этой фирмы, который несколько недель назад получил в подарок от одной компании, участвовавшей в торгах с этой фирмой, дорогую авторучку. Держатель авторучки служил антенной, в колпачок был встроен микрофон, а в корпусе кроме укороченной капсулы с чернилами был смонтирован передатчик и установлена батарейка. Однако такое оснащение вовсе не
обязательно. Как писал знаменитый фантаст А. Азимов: "Тот, кто защищает себя от сложного, падет жертвой самого примитивного нападения". Все, что чаще всего бывает необходимым, это просто послушать разговоры людей в закусочных, барах, ресторанах и других местах скопления
людей. Здесь главное - оказаться вовремя в нужном месте, например в любимой закусочной крупного руководителя интересующей фирмы. Мусорология, так сегодня называют сбор содержимого мусорных корзин. Этот метод считается чрезвычайно эффективным в плане
негласного сбора информации. Обычно все мы считаем, что если что-то попало в мусорную корзину, то об этом можно спокойно забыть. Увы... Известно, что промышленному шпионажу можно противодействовать, если только важная информация и люди, имеющие
к ней доступ, защищены от посягательств. Наиболее опасным "противником" всегда был "инсайдер", полномочный член рабочего коллектива. Поэтому служба безопасности должна систематически контролировать персонал, своевременно выявлять его слабые места и
отклонения от нормального поведения. В условиях высокого риска для фирмы стать объектом промышленного шпионажа крайне важно, чтобы руководство проводило программу обучения работников, которые должны хорошо понимать грозящую опасность. Если говорить о контршпионаже, то следует иметь в виду, что это дело обычному
подразделению безопасности фирмы не всегда бывает по плечу. Контрразведывательные операции должны быть организованы опытными людьми, знакомыми с методами их проведения. Сюда может относиться дезинформация, навязывание бесполезной информации и перевербовка агентов. Всегда следует помнить, что шпионаж становится известным
фактом только в случае провала шпиона, информация об успешно проведенных операциях всплывает крайне редко. Поэтому всегда лучше исходить из худшего.
Технические,организационные и правовые методы обеспечения компьютерной безопасности
Несанкционированный доступ к информации в компьютерных сетях превратился сегодня в одну из серьезнейших проблем, стоящих на пути развития телекоммуникационной среды и информационной инфраструктуры общества. Страны, где вычислительные системы и компьютерные сети проникли во все сферы человеческой деятельности, особенно страдают от последствий компьютерных злоупотреблений. В США ежегодный ущерб от действий злоумышленников составляет несколько миллиардов долларов. В 1997 году проблемами защиты инфраструктуры от атак через компьютерные сети в США занималась специальная комиссия при президенте. В России, с развитием информационных технологий и общественных сетей передачи данных, тоже начинает ощущаться важность создания и развития надежных средств обеспечения информационной безопасности.
Вопросы обеспечения информационной безопасности в закрытых компьютерных системах успешно разрабатываются на протяжении значительного периода времени. Первые серьезные научные работы в этой области появились, по-видимому, в середине 70х годов. Первые итоги в этой области были подведены в руководящих документах Министерства обороны США в середине 80х
Обеспечение безопасности в открытых компьютерных сетях, таких, как Internet, не имеет долгой истории и мощной исследовательской базы. Отсутствие некоторых обязательных требований к безопасности систем (которые присущи закрытым компьютерным системам, обрабатыв?тощим государственную конфиденциальную информацию), компромиссный характер решений задач безопасности в открытых сетях, вызванный функциональными требованиями к ним, разнообразие программного обеспечения — все эти причины привели к отсутствию единой методологии решения задач обеспечения безопасности в открытых компьютерных сетях. В закрытых информационно-вычислительных системах высо ко эффективными являются административные и технические средства. В Internet и других открытых сетях вследствие их специфики основная нагрузка обеспечения безопасности возлагается на программное обеспечение.
Недостаточная изученность методов решения задач обеспечения безопасности в сетях, подключенных к Internet, в сочетании со значительным ущербом от деятельности злоумышленников, замедление развития Internet вследствие нерешенности проблем защиты ее ресурсов — все это ставит проблему развития программных мер безопасности сетей в разряд важных и остро актуальных.
Правовое обеспечение безопасности информации – это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации. В нашей стране правовые основы обеспечения безопасности компьютерных систем составляют: Конституция РФ, Законы РФ, Кодексы (в том числе Уголовный Кодекс), указы и другие нормативные акты. Так, например, Уголовный Кодекс содержит главу 28, которая называется «Преступления в сфере компьютерной безопасности» и содержит описание состава компьютерных преступлений, подлежащих уголовному преследованию и полагающиеся наказания.
Организационно-административное обеспечение безопасности информации представляет собой регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, чтобы разглашение, утечка и несанкционированный доступ к информации становился невозможным или существенно затруднялся за счет проведения организационных мероприятий. К мерам этого класса можно отнести: подбор и обучение персонала, определение должностных инструкций работников, организацию пропускного режима, охрану помещений, организацию защиты информации с проведением контроля работы персонала с информацией, определение порядка хранения, резервирования, уничтожения конфиденциальной информации и т.п.
Инженерно-технические меры представляют собой совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации. К инженерным средствам относят экранирование помещений, организация сигнализации, охрана помещений с ПК.
Технические средства защиты включают в себя аппаратные, программные, криптографические средства защиты, которые затрудняют возможность атаки, помогают обнаружить факт ее возникновения, избавиться от последствий атаки.
Технические средства подсистем безопасности современных распределенных информационных систем выполняют следующие основные функции:
аутентификация партнеров по взаимодействию, позволяющая убедиться в подлинности партнера при установлении соединения;
аутентификация источника информации, позволяющая убедиться в подлинности источника сообщения;
управление доступом, обеспечивающее защиту от несанкционированного использования ресурсов;
конфиденциальность данных, которая обеспечивает защиту от несанкционированного получения информации;
целостность данных, позволяющая обнаружить, а в некоторых случаях и предотвратить изменение информации при ее хранении и передаче;
принадлежность, которая обеспечивает доказательство принадлежности информации определенному лицу.
Для реализации указанных функций используются следующие механизмы:
шифрование, преобразующее информацию в форму, недоступную для понимания неавторизованными пользователями электронная цифровая подпись, переносящая свойства реальной подписи на электронные документы
механизмы управления доступом, которые управляют процессом доступа к ресурсам пользователей на основе такой информации как базы данных управления доступом, пароли, метки безопасности, время доступа, маршрут доступа, длительность доступа;
механизмы контроля целостности, контролирующие целостность как отдельного сообщения, так и потока сообщений и использующие для этого контрольные суммы, специальные метки, порядковые номера сообщений, криптографические методы;
механизмы аутентификации, которые на основании предъявляемых пользователем паролей, аутентифицирующих устройств или его биометрических параметров принимают решение о том, является ли пользователь тем, за кого себя выдает
механизмы дополнения трафика, добавляющие в поток сообщений дополнительную информацию, «маскирующую» от злоумышленника полезную информацию;
механизмы нотаризации, которые служат для заверения подлинности источника информации.
Литература
А. А. Садердинов, В. А. Трайнев, А. А. Федулов Информационная безопасность предприятия Дашков и Ко,2006 г.
Искандер Конеев, Андрей Беляев Информационная безопасность предприятия БХВ-Петербург, 2003 г.
Северин В.А. Правовое обеспечение информационной безопасности предприятия: Учебно-практическое пособие Букинистическое издание (2000)