16 Dec 13:10 avatar

Информация в бизнесе обоюдоострое оружие

Автор: Владислав Провоторов (кандидат военных наук) | Источник: БДИ-Безопасность. Достоверность. Информация. (Санкт-Петербург) 01.03.2004г. №1.- Cтр.32-37

В основе экономической деятельности коммерческого предприятия лежат процессы создания, движения, хранения, отображения и преобразования информации. Для этого субъекты экономики используют носители информации. В основе внешних угроз экономической деятельности коммерческого предприятия также лежат эти же процессы с информацией. Для достижения своих целей субъекты угроз (разведки) используют источники информации о субъектах экономики. От умения защищать информацию от субъектов угроз зависит успех или неудача экономической деятельности предприятия.

Защита информации должна осуществляться на плановой основе — так же, как это происходит с производством и реализацией товара. Но для правильного планирования необходимо иметь четкое представление об отнесении объектов, осуществляющих и обеспечивающих операции с информацией, к определенным классификационным позициям в зависимости от их свойств.

Существующие на сегодняшний день разрозненные классификации не являются системообразующими для мероприятий сферы безопасности бизнеса. В настоящей статье предлагается классификация носителей информации, основанная на свойствах вещественных и энергетических ресурсов, а также опосредованные ею классификации видов доступа, источников информации и видов информационного ущерба. Представленное семейство классификаций позволяет относить мероприятия по защите не к единичному носителю, а к группам однородных по своим свойствам носителей информации.

Начало работы — классификация носителей информации
Целесообразно носители информации подразделять, в соответствии с их ролью при проведении операций с информацией, на виды. Таких видов может быть два.

К первому виду будем относить носители информации — субъекты одной или нескольких операций с информацией: получения (добывания), преобразования (переработки), отображения (демонстрации), чтения, хранения (запоминания), передачи.

Субъект выступает как производитель (человек) или исполнитель (техническое устройство) действия с информацией. Поэтому в группировке первого вида можно выделить две группы типов носителей информации: 1) люди; 2) технические устройства (конструкции). Для систематизации будем их обозначать, соответственно, физические лица и физические устройства. Представим не исчерпывающими списками перечни носителей информации этих групп.

1.1. Физические лица: руководители; сотрудники (разработчики и пользователи документов; разработчики проектов, ОКР, НИОКР; разработчики технической документации и т.д.); обслуживающий персонал (операторы множительной техники; операторы технических устройств; делопроизводители и т.п.); продавцы продукции; коммерческие агенты; партнеры; поставщики; покупатели; консультанты и т.д.

1.2. Физические устройства: системы, средства и устройства для хранения документов; технические средства и системы для выполнения ОКР, НИОКР; технические системы и средства получения, переработки, отображения информации; технические средства радио, телефонной, телевизионной, проводной, громкоговорящей связи; технические средства компьютерных сетей; автоматизированные системы обработки данных; промышленные ТV-установки; экраны промышленных ТV-установок; экраны (табло) и мониторы индивидуального и коллективного пользования (демонстрации) и т.д.

Место и роль этих носителей в планировании защиты информации определяются тем, что доступ к информации кем-либо может быть осуществлен только в ходе выполнения операций с ней субъектом операций. Субъект производит или исполняет операции с информацией, используя различные знаковые системы и физические предметы, физические явления или процессы для создания сообщений. В результате появляются и перемещаются носители информации второго вида.

Ко второму виду будем относить носители информации, используемые для закрепления и переноса информации во времени и пространстве с использованием различных знаковых систем и в соответствии с алгоритмом управления ими носителями информации первого вида.

Субъект выполняет следующие операции с предметами и процессами по закреплению и переносу информации знаковыми системами: изготовление (создание, производство), тиражирование, копирование, пересылку, передачу, хранение и т.п.

В группировке носителей информации второго вида также можно выделить две группы типов, различные по физической природе: а) физические тела; б) физические и звуковые поля, электрические токи. Общим свойством физических и звуковых полей является их волновой характер, поэтому их можно еще назвать носителями волнового типа.

Электрический ток также осуществляет перенос энергии и является носителем информации и форме токов низкой или высокой частоты в кабельных сетях связи и коммуникации.

Характеризуя второй вид носителей, необходимо отметить следующее.

Закрепление информации на носителях вещественного типа знаковыми системами осуществляется за счет изменения образа физических тел.

Перенос информации носителями вещественного типа осуществляется за счет переноса массы вещества.

Закрепление информации у носителей волнового типа знаковыми системами осуществляется за счет изменения состояния среды.

Перенос информации носителями волнового типа осуществляется за счет переноса электромагнитной или звуковой энергии.

Закрепление и перенос информации электрическими токами осуществляются за счет их амплитудной и/или частотной (фазовой) модуляции полезным сигналом. Эти формы электрических токов будем называть электросиловыми носителями информации.

Носителей второй группы второго вида объединяет то, что они производят перенос информации за счет переноса количества энергии. Поэтому данную группу целесообразно определить как носители энергетического типа. Представим номенклатуру носителей энергетического типа: — носители волнового типа: электромагнитные излучения (радиоизлучение; оптическое излучение); звуковое излучение (излучение слышимого звука; излучение инфразвука; излучение ультразвука); носители электросилового типа: токи высокой частоты; токи низкой частоты.

Однако для обеспечения планирования необходим показ связи носителей информации первого и второго вида между собой, что обеспечивает возможность двигаться дальше по схеме: доступ к носителям информации -> источники информации -> каналы утраты или утечки информации.

На представленной схеме 1 (схемы доступны в бумажной версии статьи) осуществлена «привязка» к носителям информации первого вида носителей информации второго вида, причем последние сгруппированы в подгруппы активных и пассивных носителей. При этом под активными носителями будем понимать такие, которые сами себя демонстрируют и несанкционированный доступ к которым производится с использованием пассивных средств и способов получения информации. Именно на основе этого варианта классификационной интерпретации построена модель реестра носителей информации на объекте предпринимательской деятельности.

Классификация носителей будет неполной без учета явления, сущность которого заключается в том, что многие технические устройства обладают способностью преобразовывать энергетические поля носителей информации первого вида и ретранслировать свои энергетические поля или электрические токи с воспроизведением информации. Эффект вторичной ретрансляции возникает, когда носители второго вида волнового (электромагнитное и звуковое поля) и электросилового (электрические токи) типов возбуждают или модулируют полезным сигналом излучения электрических или электронных устройств для обеспечения административной, хозяйственной деятельности, охраны и т.п. Переносящая информацию энергия воздействует на конструктивные элементы этих электронных и электрических устройств, являющихся преобразователями энергии, и вызывает произвольные модулированные полезным сигналом вторичные излучения и/или токи.

К таким ретрансляторам физических полей будем относить: системы радиофикации; системы единого времени и вторичной часофикации; системы и средства охранной и пожарной сигнализации; звукозаписывающую и звуковоспроизводящую аппаратуру; серийные радиоприемники и телевизоры; средства изготовления, копирования и размножения документов; различные электробытовые приборы — электронные часы, электрозвонки, настольные и потолочные светильники, холодильники, кондиционеры, вентиляторы и т.п.

Они производят вредную ретрансляцию по своему произволу, а не в результате выполнения или исполнения ими операций с информацией. Поэтому их энергетические поля и электрические токи целесообразно назвать произвольными энергетическими полями и электрическими токами ретрансляторов, а их излучения -произвольными излучениями.

Такие энергетические поля также являются носителями волнового типа, электрические токи — носителями электросилового типа, но произвольными носителями волнового и электросилового типов.

Эффект произвольного производства энергетических полей вообще свойствен любой электронной и электрической аппаратуре по причине конструктивных особенностей ее элементной базы. Такие поля не предназначены для передачи сообщений, поэтому их нельзя назвать полезными. Техногенами, т.е. возбудителями и излучателями таких полей являются также элементы и блоки физических устройств для производства операций с информацией. Физическая сущность процессов возбуждения ими произвольных энергетических полей (излучений) аналогична, однако они происходят в ходе преобразования полезных сигналов носителями первого вида (физическими устройствами) в носители второго вида (физические тела и физические процессы).

Конечно, эти поля и токи не являются носителями информации в прямом смысле, так как не служат для выполнения (исполнения) операций с ней и переноса информации во времени и пространстве. Однако нельзя не учитывать того, что они позволяют получать информацию, т.е. эти энергетические поля и токи могут использоваться как источники информации для профессионалов.

Второй шаг — отрегулировать доступ к носителям информации

Всякая информация может быть открытой для распространения и использования большим или меньшим кругом людей. Информация, предназначенная только для распространения и использования в узком кругу людей, считается закрытой. Для пользования носителями открытой информации не требуется какого-либо разрешения или допуска. Наличие закрытой информации организации предполагает определенный порядок санкционирования доступа к ее носителям. В соответствии с характером распространения будем классифицировать виды доступа на:
  • открытый доступ — доступ, разрешенный практически всем к информации неограниченного распространения;
  • ограниченный доступ — доступ, разрешенный определенному кругу лиц к информации ограниченного распространения. Информация в организации,
доступ к которой открывается, должна проходить проверку на необходимость ограничения распространения. При этом под ограничением распространения информации будем понимать:
  • соблюдение правил определения степени конфиденциальности ее содержания;
  • определение лиц, как среди сотрудников, так и среди клиентов и партнеров, которые ознакамливаются (работают) с информацией, имеющей степень конфиденциальности;
  • определение физических устройств для исполнения операций с информацией с использованием носителей вещественного и энергетического типов. Организационно ограничение распространения информации реализуется установлением степени категорированности объектам, которые являются физическими устройствами и физическими носителями информации второго вида вещественного типа, и оформлением приказом руководителя организации допуска сотрудников к ним, а также установлением порядка и процедур работы с информацией, на которую накладываются ограничения по распространению.
К носителям информации ограниченного распространения организуется ограничение доступа. При этом под ограничением доступа к носителям информации будем понимать применение правил и процедур, которые обеспечивают доступ к ним сотрудников коммерческой организации (клиентов, партнеров и т.п.) в соответствии с их допуском и исключают контакты с ними лиц, не имеющих допуска к закрытой информации. Такие правила и процедуры могут выполняться с использованием технических и программных средств для предотвращения не только физических контактов с носителями лиц, не имеющих допуска, но и контактов через управляемые ими технические и программные средства.

Таким образом, к носителям информации ограниченного распространения доступ может осуществляться как санкционированно — в результате соблюдения правил доступа, так и несанкционированно — в результате преодоления правил доступа. При этом под несанкционированным доступом будем понимать неразрешенные контакты с носителями информации лиц, не имеющих права ознакомления с содержанием, формами и способами отображения информации, с целью их узнавания и последующего использования.

В результате доступа к носителям информации они становятся источниками информации.

Третий шаг — учесть все источники информации

В литературе понятия «носитель» и «источник информации» часто употребляются либо как равно-объемные (синонимы), либо как соподчиненные. Однако не всегда носитель информации становится ее источником для конкурирующих или криминальных структур, поэтому целесообразно разграничить эти понятия.

Источниками информации могут быть люди, физические устройства, физические тела, физические и звуковые поля, электрические токи, т.е. носители информации первого и второго вида. Но необходимую информацию можно получить, исследуя образцы продукции, отходы производства, регистрируя произвольные энергетические поля ретрансляторов, звуковое поле буквопечатающих узлов принтерных и машинописных устройств. К этим источникам информации также может осуществляться открытый или ограниченный (санкционированный или несанкционированный) доступ.

В силу объективного существования этих двух групп источников информации их целесообразно классифицировать на два вида: непосредственные и косвенные.

Под непосредственным источником информации будем понимать ее носитель первого или второго вида, к которому осуществлен открытый, санкционированный или несанкционированный доступ и произошла либо утрата, либо утечка информации. Когда в качестве источника информации выступает носитель первого вида, будем называть его первичным источником информации. Когда в качестве источника информации выступает носитель второго вида, будем называть его вторичным источником информации. При этом допускаем, что информация первичным источником передается только с использованием вторичных источников информации.

Под косвенным источником информации будем понимать физическое тело (объект) или энергетическое поле, появившееся в результате целенаправленной организованной деятельности предприятия или в результате функционирования средств для обеспечения и обслуживания этой деятельности, к которым осуществлен открытый, санкционированный или несанкционированный доступ и произошла утечка информации. Как видно из определения, список таких объектов нельзя ограничить, так как профессионал в разведке может получать информацию, используя практически любой объект.

Если косвенными источниками информации являются образцы продукции, то их целесообразно называть аутгенными источниками информации (от англ, outgenous), т.е. порождаемыми созданием завершенной продукции.

Если косвенными источниками информации являются образцы отходов, то их целесообразно называть интрагенными (от англ, intragenous), т.е. порождаемыми технологическими особенностями обработки сырья.

Когда косвенным источником информации является произвольно ретранслируемое или транслируемое энергетическое поле с информацией первичного источника, будем называть его техногенным источником информации (от англ, technogenous), т.е. порожденным техническими устройствами.

В результате образования источников информации организации может наноситься информационный ущерб и образоваться каналы утраты и утечки информации.

Четвертый шаг — прогнозировать информационный ущерб

Видами информационного ущерба организации при образовании источников информации в ее внутренней среде являются утечка и утрата информации.

При этом под утечкой информации будем понимать ее получение кем-либо посторонним путем:
  • регистрации звукового поля разговорной речи (то есть доступ ко вторичным источникам);
  • регистрации полезных излучений технических устройств для хранения, преобразования, отображения и передачи информации в процессе выполнения этих операций (то есть доступ ко вторичным источникам);
  • регистрации произвольных излучений технических устройств для хранения, преобразования, отображения и передачи информации или их отдельных конструктивных элементов в процессе выполнения этих операций или производимых буквопечатающими устройствами (то есть доступ к техногенным источникам);
  • регистрации произвольных излучений, возбуждаемых электрическими или электронными устройствами для обеспечения деятельности под воздействием полей первичного источника (то есть доступ к техногенным источникам);
  • обработки различных открытых письменных (то есть доступ ко вторичным источникам) или устных сообщений сотрудников предприятия, не содержащих в явном виде данных конфиденциального характера;
  • исследования образцов продукции (то есть доступ к аутгенным источникам информации), отходов производства (то есть доступ к интрагенным источникам информации).
Из перечня следует, что для того, чтобы произошла утечка информации из внутренней среды организации, необходима не только оперативная деятельность по регистрации физических полей и добыванию письменных (печатных) или устных сообщений сотрудников, но обязательна и профессиональная аналитическая работа.

Под утратой информации будем понимать ее получение кем-либо посторонним путем завладения экземплярами конфиденциальных документов предприятия или их копиями (черновиками, испорченными экземплярами), копиями файлов, дискетами (жесткими дисками) с файлами таких документов, другими физическими объектами, технология создания которых или их узлов является закрытой (то есть доступ ко вторичным источникам). К утрате информации также будем относить модификацию или уничтожение данных на сетевых компьютерах организации, осуществленные в результате несанкционированного доступа к ним. Утратой информации будем также считать преднамеренное или непреднамеренное разглашение сотрудниками информации ограниченного распространения конкурентам организации, средствам массовой информации, криминальным структурам или налоговым органам (то есть доступ ко вторичным источникам). При утрате оглашение сведений становится практически необратимым, поскольку они в этом случае полностью утрачивают конфиденциальный характер и прекращают свое существование в этом смысле.

При этом под разглашением информации ограниченного распространения будем понимать предоставление возможности ознакомиться с ней, как при дистанционном, так и при контактном доступе к ее носителям второго вида, лицам, не имеющим права на такой доступ, с последующим получением ими этой информации.

Получение информации из различных черновиков, испорченных экземпляров, отработанных материалов для копировальных или множительных работ, выброшенных в мусорную корзину, имеет свое название — «трешинг». Жаргонно это определяется как копание, рытье в мусорной корзине. Такой путь получения информации довольно широко распространен среди спецслужб, журналистов и хакеров.

Следует понимать, что действия конкурентов или органов силовых министерств, приводящие к утрате информации, для них всегда предпочтительнее, так как сужают базу необходимой перекрестной информации и, таким образом, уменьшают требуемые усилия по получению заданного количества информации. Данное обстоятельство говорит в пользу того, что в организации, если ее деятельность интересует вышеназванные структуры, может работать их агент.

Таким образом, основанием для разграничения утечки и утраты информации является тип носителя информации второго вида, так как операции с информацией осуществляются с их обязательным использованием.

Утечка информации происходит как при открытом, так и при ограниченном санкционированном или несанкционированном доступе к ее активным носителям вещественного или волнового типа, а также к косвенным источникам информации.

Утрата информации происходит при санкционированном или несанкционированном доступе к ее пассивным носителям вещественного типа, предназначенным для выполнения операций физическими лицами и исполнения операций физическими устройствами, а также при разглашении информации.

В контексте использования информации для принятия управленческих решений, осуществления финансовых или производственных проектов утечка и утрата информации находятся в причинно-следственной связи. Эта связь заключается в том, что утрате информации, как правило, предшествует утечка информации. При целенаправленной разведывательной деятельности против коммерческой организации утечка и утрата представляют собой единый комплекс информационного ущерба.

Сущность информационного ущерба заключается в том, что доступ к носителям информации конкурентов или не заинтересованных в развитии коммерческой организации кругов приводит к снижению, порой резкому, эффективности управленческих решений, финансовых и производственных проектов, которые принимались на ее основе.

Как было уже отмечено, в результате доступа к носителям информации могут образоваться каналы утраты и утечки информации. Под каналом утраты или утечки информации будем понимать упорядоченную в соответствии с направлением движения информации совокупность объектов и (или) субъектов, среди которых обязательно есть непосредственный источник информации в подразделении коммерческой организации, контактор с источником информации и получатель информации за юридическими и физическими границами организации.

Под упорядочением объектов или субъектов, образующих канал, будем понимать использование способов действий для доступа, регистрации, хранения, передачи, доставки носителей информации. Способ действий определим как совокупность приемов и процедур, обеспечивающих заданный результат каждого этапа при движении информации по каналу. Основные прототипы каналов информационного ущерба организации из-за наличия источников информации показаны на схеме 2 (схемы доступны в бумажной версии статьи).

Отнесение конкретных носителей информационных ресурсов в организации к тому или иному виду и типу представленного классификатора, а также определение их возможностей по нанесению информационного ущерба осуществляются в процессе разработки реестра носителей информации в данной организации.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.