А. Артемов - Информационная безопасность. Курс лекций

Информация секретная– сведения, которые в соответствии с Законом Российской Федерации «О государственной тайне» и утвержденными государственным, отраслевыми и ведомственными перечнями содержат государственные секреты.

Информация ценная —информация, которая составляет интеллектуальную собственность предпринимателя или группы предпринимателей и дает им возможность производить качественную продукцию, товары и услуги, пользующиеся повышенным спросом на рынке, заключать выгодные сделки, находить новых клиентов, покупателей как самой продукции, так и технологии ее производства. Подобная информация охраняется нормами авторского и смежного права, патентного права, товарным знаком, знаком обслуживания или защищается включением ее в категорию конфиденциальной. Ценная информация образуется в производственной и деловой сферах деятельности предпринимателя – в прогнозировании и планировании этой деятельности, управлении фирмой, финансовой, производственной и торговой деятельности, формировании ценовой политики и состава компаньонов, партнеров и поставщиков, потребителей продукции, изучении состава и направлений деятельности конкурентов фирмы, проведении научной и исследовательской деятельности, использовании новых технологий, подборе и управлении персоналом, организации экономической безопасности фирмы. Определение состава ценных деловых и технологических сведений основывается на принципе экономической целесообразности и оценивается стоимостными показателями, размерами упущенной выгоды и убытков фирмы при утрате информации, а также размером прибыли от использования этой информации с учетом затрат на ее защиту. Часто информация становится ценной ввиду ее правового значения для фирмы (учредительные документы, контракты и др.).

Исполнение конфиденциального документа– процесс составления и оформления официального документа. В отличие от открытых документов стадия исполнения конфиденциальных документов включает ряд дополнительных технологических этапов и процедур, обеспечивающих сохранность носителя и конфиденциальность документируемой информации. Стадия включает в себя следующие технологические этапы: установление уровня грифа конфиденциальности сведений, подлежащих включению в будущий документ; оформление и учет носителями» документирования данной конфиденциальной информации; документирование информации, изготовление конфиденциального документа, издание документа. Указанные этапы характеризуются не только регламентированной технологией, но и жесткими правилами работы персонала с конфиденциальным документом.

Использование конфиденциального документа– включение документа в информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и принятие решений. Для использования в работе обычно поступают: законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация.

Источник конфиденциальной информации– объективно пассивный накопитель (концентратор) конфиденциальной информации. В научной литературе часто используется альтернативный для сферы защиты информации термин – «носитель конфиденциальной информации» по аналогии с термином «секретоноситель». К основным видам источников относятся: традиционные и электронные документы, базы данных, персонал фирмы и окружающие ее люди, физические поля, сопровождающие работу вычислительной и другой офисной техники, публикации о фирме и ее разработках, рекламные издания, выставочные материалы. Каждый из источников делится на множество подвидов. Классификация источников конфиденциальной информации, сопровождающих работу конкретной фирмы, является одной из главных составных частей аналитической работы по выявлению каналов несанкционированного доступа к конфиденциальной информации и обеспечению безопасности информации» каждом источнике.

Источник угрозы конфиденциальной информации– объективные и субъективные явления, события, факторы, действия и обстоятельства, содержащие опасность для ценной информации. К объективным источникам можно отнести: экстремальные ситуации, несовершенство технических средств и др. Субъективные источники связаны с человеческим фактором и включают злоумышленников различного рода, посторонних лиц, посетителей, неквалифицированный или безответственный персонал, психически неполноценных людей, сотрудников, обиженных руководством фирмы, и др. Источники угрозы могут быть внешними и внутренними. Внешние источники находятся вне фирмы и представлены чрезвычайными событиями, а также организационными структурами и физическими лицами, проявляющими определенный интерес к фирме. Внутренние источники угрозы связаны с фатальными событиями в здании фирмы, а также с персоналом. Однако наличие источника угрозы само по себе не является угрозой. Угроза реализуется в действиях.

Канал несанкционированного доступа к информации– совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации. В основе выявления возможного канала несанкционированного доступа лежит взаимодействие злоумышленника с источником информации или преобразование канала объективного распространения информации в канал ее утраты. Этот процесс требует проведения поисковой и аналитической работы и организуется тайно. Каждая фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов – профиля деятельности, объема защищаемой информации, совершенства применяемой системы защиты информации и противодействия злоумышленникам, эффективности аналитической работы, профессионального уровня персонала, местоположения здания фирмы и др. Канал несанкционированного доступа может быть организационным и техническим и обеспечиваться легальными и нелегальными методами.

Канал несанкционированного доступа организационный– направление несанкционированного доступа злоумышленника к конфиденциальной информации, включающее в себя: установление разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой (поступление на работу в фирму, участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов, разрешенная или не разрешенная работа с документом, делом, базой данных и т. п.); сотрудничество с работником фирмы или лицом, имеющих доступ к документации фирмы; тайное или по фиктивными документам проникновение в здание фирмы, помещения, незаконное получение документов, информации; использование коммуникативных связей фирмы (участие в конфиденциальных совещаниях и переговорах, переписке с фирмой и др.). Организационный канал в большинстве случаев основывается на таком распространенном явлении, как случайное или умышленное разглашение конфиденциальной информации персоналом фирмы. Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией и прогнозировать их сложно.