- •Защита информации в работе секретаря-референта
- •Введение
- •Роль секретаря-референта в обеспечении информационной безопасности фирмы
- •Дополнительные функции секретаря-референта, связанные с защитой информации
- •Что является тайной фирмы и какая информация подлежит защите
- •Что представляет собой конфиденциальный документ и как он маркируется
- •Какие опасности угрожают конфиденциальным документам. От каких угроз мы должны их защищать
- •Как функционирует механизм разглашения или утечки конфиденциальной информации
- •Пути поиска и обнаружения каналов разглашения и утечки информации
- •Литература
Как функционирует механизм разглашения или утечки конфиденциальной информации
Источники конфиденциальной информации представляют собой накопители этой информации. К числу основных видов источников относятся: персонал фирмы и окружающие фирму люди, документы, публикации о фирме, рекламные издания, выставочные материалы, физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники.
Документация, как источник предпринимательской информации, составляющей коммерческую тайну, включает:
конфиденциальную документацию, содержащую ценные сведения, ноу-хау;
служебную, обычную деловую и научно-техническую документацию;
рабочие записи сотрудников, их служебные дневники, личные рабочие планы,
личные архивы сотрудников фирмы.
Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации, в том числе конфиденциальной, носят объективный характер, отличаются активностью и включают в себя:
деловые, управленческие, торговые, научные и другие регламентированные связи,
информационные сети,
естественные технические каналы излучения, создания фонда.
Канал распространения информации представляет собой путь перемещения конфиденциальных сведений из одного источника в другой в санкционированном режиме или в силу объективных закономерностей. Например: обсуждение конфиденциального вопроса на закрытом совещании, запись на бумаге содержания изобретения, переговоры с потенциальным партнером, работа на ЭВМ и т.д. Увеличение числа каналов распространения информации порождает расширение состава источников информации.
Утрата информации предполагает незаконный переход конфиденциальных сведений, документов к лицу, не имеющему права владения ими и использования их в своих целях для получения прибыли.
Разглашение, утечка информации характеризуется двумя моментами:
Информация переходит непосредственно к заинтересованному лицу-конкуренту или злоумышленнику.
К третьему лицу. Под третьем лицом в данном случае понимаются любые лица, получившие знание конфиденциальной информации в силу обстоятельств или в результате безответственности персонала, но не обладающие правом владения ею и, что очень важно — не заинтересованные в этой информации. Однако от третьего лица может данная информация может перейти к злоумышленнику.
Каналы утраты ценной и конфиденциальной информации могут быть организованными и техническими.
Организационные каналы разглашения информации основаны на установлении разнообразных, в том числе законных взаимоотношений злоумышленника с фирмой или сотрудником фирмы для последующего несанкционированного доступа к интересующей злоумышленника информации.
Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств разведки, позволяющих получить защищаемую информацию без контакта с персоналом фирмы.
Пути поиска и обнаружения каналов разглашения и утечки информации
В основе поиска и обнаружения каналов разглашения и утечки защищаемой информации фирмы лежит аналитическая работа секретаря-референта — выявление, классификация и постоянное изучение источников, владеющих информацией и естественных, объективных каналов распространения этой информацией.
Секретарю-референту фирмы в целях превентивного контроля рекомендуются следующие аналитические действия по отношению к источникам, которые обладают или могут обладать защищаемой информацией:
ведение и анализ электронной описи реального состава циркулирующей конфиденциальной информации фирмы (с указанием носителей — документов, дискет, файлов)
ведение и анализ электронной описи владения конфиденциальной информацией руководством фирмы
ведение и анализ электронной описи выявленных потенциальных и реальных угроз каждому отдельному источнику информации
ведение и анализ электронной описи защитных мер, предпринятых по каждому источнику, и защитных мер, которые могут быть использованы при активных действиях злоумышленника.
По отношению к каналам объективного распространения защищаемой информации секретарю-референту рекомендуется проводить следующие аналитические действия и меры превентивного контроля:
ведение и анализ электронной описи реальных каналов распространения информации на фирме,
ведение и анализ электронной описи составных элементов каждого канала с целью выявления опасных участков, способствующих возникновению канала разглашения защищаемой информации,
ведение и анализ электронной описи ценной информации, циркулирующей в каждом канале,
ведение и анализ электронной описи учета циркуляции конфиденциальной информации между источниками,
ведение и анализ электронной описи сферы распространения информации на фирме.
Наиболее эффективным является сочетание в действиях злоумышленника организационных каналов и технических каналов. Вариантов и сочетаний может быть множество, поэтому риск утраты информации всегда достаточно велик.
Контрольная и аналитическая работа проводятся при потенциальных и пассивных угрозах источникам и каналам распространения информации. При активной угрозе одновременно осуществляется заранее спланированное, продуманное и решительное противодействие злоумышленнику. Результаты аналитической работы лежат в основе определения структуры и содержания системы защиты информации, определения ее эффективности и направлений совершенствования.
Вывод
Следовательно, в целях правильной организации защиты ценной и конфиденциальной информации и документов фирмы секретарь-референт:
во-первых, должен знать состав такой информации и документов, выделять их из общей массы проставлением определенного грифа ограничения доступа,
во-вторых, вести постоянное изучение и анализ возникающих угроз информации и степени их риска,
в-третьих, анализировать состав информации, которой обладает каждый источник и которая циркулирует в каналах распространения информации.
На основе секретарь-референт может с достаточной вероятностью определять возможные и реальные каналы разглашения информации. При отсутствии на фирме серьезной аналитической работы построение системы защиты информации и обеспечении ее эффективности становится практически невозможным.