- •Информационное право
- •Информационная безопасность информационной сферы оглавление
- •Глава 1. Информация, информационные системы
- •Основные понятия, виды и источники информации,
- •1.2. Информация как объект правоотношений
- •Глава 2. Основные положения информационной безопасности
- •2.1. Базисные понятия информационной безопасности
- •2.2. Роль и место информационной безопасности
- •2.3. Угрозы и источники информационной
- •Классификация и характеристики каналов утечки
- •Группы куи
- •Характеристики правонарушений информационной безопасности
- •Организационное и правовое регулирование
- •4.1. Основные направления государственной политики России в сфере информатизации
- •5.2. Концептуальные положения и основные направления правового регулирования в системе обеспечения информационной безопасности
- •5.3. Проблемы формирования законодательства
- •6.2. Основные положения правового регулирования
- •В сфере информационной безопасности
- •11.5. Направления правового регулирования
- •Раздел 7.Преступления против личности.
- •Глава 17. Преступления против свободы, чести и достоинства личности.
- •Глава 19. Преступления против конституционных прав и свобод человека и гражданина.
- •Глава 20. Преступления против семьи и несовершеннолетних.
- •Раздел 8. Преступления в сфере экономики Глава 22. Преступления в сфере экономической деятельности
- •12.4. Особенности юридической ответственности
Классификация и характеристики каналов утечки
конфиденциальной информации
Представляют интерес такие угрозы, как утрата охраняемых сведений в ходе информационного процесса. Признаки таких угроз: активные, осознанные, целенаправленные действия сторон, в том числе: 1) разглашение конфиденциальной информации ее обладателем; 2) утечка информации по различным, в том числе и зачастую по техническим каналам; 3) НСД к конфиденциальной информации различными способами.
Разглашение информации ее обладателем – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе, приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам.
Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, при обсуждении, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права доступа к охраняемым секретам.
Каналы разглашения информации: почтовые отправления, радио, телевидение, печать и т.п.; деловые встречи, беседы при обсуждении совместных работ; договоры; письма и документы и др.
Причины разглашения конфиденциальной информации: слабое знание (или незнание) требований по защите конфиденциальной информации; ошибочность действий персонала из–за низкой производственной квалификации; отсутствие системы контроля оформления документов, подготовки выступлений, рекламы и публикаций; злостное, преднамеренное невыполнение требований по защите коммерческой тайны.
Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу.
Утечка информации – это бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.
С позиции права утечка информации предполагает противоправное (тайное или явное, осознанное или случайное) овладение конфиденциальной информацией, независимо от того, каким путем это достигается.
Характеристики противоправных действий, связанных с утечкой охраняемой информации: обстоятельства происхождения утечки; причины утечки; условиями утечки.
Существует ряд причин, условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информации.
Обстоятельства происхождения утечки конфиденциальной информации:
1) низкая эффективность управления персоналом, недостатки должностных лиц, проявляющаяся в том числе и в следующем: излишней болтливости; стремлении зарабатывать деньги любыми способами и ценой; отсутствии в организации службы безопасности; привычке делится друг с другом служебной информацией; бесконтрольном использовании информационных систем; наличии предпосылок возникновения конфликтных ситуаций из-за низкой психологической совместимости и сплоченности сотрудников коллектива;
наличие конкурента, злоумышленника, затрачивающегося определенные силы и средства для получения информации;
наличие условий минимальных затрат конкурента на овладение интересующей его информацией и др.
Причины утечки информации: несовершенство и нарушение норм по ЗИ; нарушение правил обращения с документами, ТСОИ, образцами продукции и другими материалами, содержащими конфиденциальную информацию и др.
Условия утечки конфиденциальной информации, определяются факторами и обстоятельствами, складывающимися в процессе различных видов деятельности и создающие предпосылки возникновения утечки. К таким факторам и обстоятельствам относятся:
низкие знания персонала правил защиты тайны, непонимание необходимости их соблюдения, в том числе:
утрата удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей;
несанкционированный, неконтролируемый пронос на территорию оргтехники, ТСОИ личного пользования;
недонесение о фактах возможной утечки конфиденциальных сведений руководству организации и службы безопасности (СБ);
несанкционированный вынос за пределы организации конфиденциальных документов, изделий;
неправильное определение грифа секретности документа (изделия);
нарушений правил работы с конфиденциальными, материалами и документами, в том числе хранения, исполнения, ознакомления, допуска, размножения, копирования, передачи, получения, доставки, получения, возвращения, отчетности и др.;
несоблюдение правил физической защиты рабочих помещений (спецхранилищ);
нарушение правил ведения конфиденциальных переговоров, в том числе и с использованием ТСОИ;
2) использование не аттестованных ТСОИ;
3) недостаточный контроль эффективности ЗИ, в том числе с использованием правовых, организационных, инженерно–техническими мер, способов, средств, мероприятий;
текучесть персонала, владеющего конфиденциальными сведениями;
латентные нарушения правил обеспечения ИБ:
• ознакомление с конфиденциальными документами, изделиями, работами посторонних лиц;
• неправильная адресация конфиденциальных документов;
• использование неучтенных носителей для подготовка конфиденциальных документов;
• публикации научных и других работ, содержащих конфиденциальную информацию без соответствующей экспертизы и др.
Утечке информации способствуют и стихийные бедствия, катастрофы, неисправности, отказы, аварии технических средств и оборудования.
Каналами несанкционированного доступа к конфиденциальной информации являются: физические и юридические лица, их имущественная собственность, личная деятельность, связанные с обработкой информационных ресурсов; состав, состояние и деятельность объекта конфиденциальной информации;
Известны наиболее характерные источники, традиционные приемы и методы получения конфиденциальной информации, которые описывают действия субъектов правовых отношений в информационной и сфере обеспечения ИБ: сбор информации, со средств массовой информации, включая официальные документы; использование служебных сведений конкурирующих и противоборствующих организаций; документы, отчеты консультантов, финансовые документы, выставочные экспонаты и проспекты и др.; продукция конкурирующих и других организаций, представляющая интерес для видовых разведок, использование данных, полученных во время бесед с обслуживающим персоналом; скрытые опросы служащих организации на научно–технических конгрессах; скрытые наблюдения; беседы о найме на работу (без намерений приема их на работу); наем на работу служащего конкурирующей организации для получения требуемой информации; подкуп служащего; подслушивание переговоров, ведущихся в служебных, иных помещениях и с использованием ТСОИ; кража эксплуатационно-технической документации и др.; шантаж и вымогательство и другие.
Рассмотренные источники и методы получения конфиденциальной информации, а также ее уничтожения, искажения, блокирования не является исчерпывающим, однако они позволяют сгруппировать все вероятные источники утечки информации на три основные группы: 1) персонал, имеющий доступ к конфиденциальной информации; 2) документы, содержащие эту информацию; 3) ТСОИ.
Вероятные каналы утечки информации (КУИ), определяются наличием соответствующих источников конфиденциальной информации. Среди разнообразных каналов утечки информации, используемых ТСР, человек является одной из главных причин и источников утечки конфиденциальной информации, таблица 2.1.
Таблица 2.1.