- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
1.7.6 Професійна таємниця
Професійна таємниця - інформація, що захищається згідно із законом, довірена або така, що стала відомою особі виключно через виконання нею своїх професійних обов'язків, не пов'язаних з державною або муніципальною службою, поширення якої може завдати збитку правам і законним інтересам власника інформації або іншої особи (довірителя), що довірила ці відомості, які не є державною або комерційною таємницею.
Інформація професійної таємниці за критеріями охороно здатності права відповідає таким вимогам:
інформація не належить до відомостей, що складають державну і комерційну таємницю;
інформація стала відомою або була довірена особі лише через виконання нею своїх професійних обов'язків;
інформація стала відомою або була довірена особі, що не перебуває на державній або муніципальній службі (інакше інформація вважається службовою таємницею);
заборонено поширення довіреної або такої, що стала відомою, інформації, яка може завдати збитку правам і законним інтересам довірителя.
Відповідно до цих критеріїв виділяють такі об'єкти професійної таємниці.
1. Лікарська таємниця - інформація, що містить:
відомості про факт звертання за медичною допомогою, про стан здоров'я, діагнози захворювання та інші відомості, отримані при обстеженні і лікуванні громадянина;
не бути надлишковими стосовно неї. Не допускається об'єднання баз персональних даних, зібраних тримачами в різних цілях, для автоматизованої обробки інформації;\
персональні дані, що надаються тримачем, мають бути точними; у разі потреби вони повинні оновлюватися;
персональні дані повинні зберігатися не довше, ніж цього вимагає мета, і підлягати знищенню після досягнення цієї мети;
персональні дані охороняються в режимі конфіденційної інформації, що виключає їх випадкове або несанкціоноване руйнування або випадкову втрату, а також несанкціонований доступ до даних, їх зміну, блокування або передачу;
встановлюється спеціальний правовий режим використання персональних даних осіб, що обіймають вищі державні посади, і кандидатів на ці посади.
Способи неправомірного оволодіння конфіденційною інформацією
У значній частині законодавчих актів, законів, кодексів, офіційних матеріалів стосовно неправомірного оволодіння конфіденційною інформації використовуються такі поняття, як розголошення відомостей, витік інформацією і несанкціонований доступ до конфіденційної інформації.
Розголошення - це навмисні чи необережні дії з конфіденційними відомостями, що призвели до ознайомлення з ними осіб, не допущених до них.
Розголошення полягає у повідомленні, передачі, наданні, пересиланні, опублікуванні, втраті та в інших формах обміну і дій з діловою і науковою інформацією.
Реалізується розголошення формальними і неформальними каналами поширення інформації.
До формальних комунікацій належать ділові зустрічі, наради, переговори і тому подібні форми спілкування: обмін офіційними діловими і науковими документами засобами передачі офіційної інформації (пошта, телефон, телеграф і ін.).
Неформальні комунікації - це особисте спілкування (зустрічі, листування й ін.); виставки, семінари, конференції й інші масові заходи, а також засоби масової інформації (газети, інтерв’ю, радіо, телебачення й ін.).
Як правило, причиною розголошення конфіденційної інформації є недостатнє знання співробітниками правил захисту комерційних секретів і нерозуміння необхідності їх ретельного дотримання. Отут важливо відзначити, що суб’єктом у цьому процесі виступає джерело (власник) секретів, що охороняються.
Необхідно враховувати такі особливості інформації. Інформація змістовна, осмислена, упорядкована, аргументована і доводиться найчастіше в реальному масштабі часу. Часто є можливість діалогу. Інформація орієнтована у певній тематичній галузі і документована. З урахуванням цього, для одержання інформації зловмисник може докладати практично мінімальні зусилля.
Закордонні фахівці до найбільш Імовірних каналів витоку конфіденційної інформації відносять такі:
спільну діяльність із іншими фірмами; проведення переговорів;
екскурсії й відвідування фірми;
рекламу, публікації в пресі, інтерв'ю;
консультації фахівців з інших фірм, що одержують доступ до документації й виробничої діяльності даної фірми;
фіктивні запити про можливість роботи у фірмі, укладання з нею угод, здійснення спільної діяльності;
розсилання окремим співробітникам фірми різних анкет й опиту- вальників під виглядом наукових або маркетингових досліджень;
приватні бесіди зі співробітниками фірми, нав'язування їм неза- планованих дискусій з різних проблем.
Витік - це безконтрольний вихід конфіденційної інформації за межі організації чи кола осіб, яким вона була довірена
Канал витоку інформації - це шлях від джерела конфіденційної інформації до зловмисника, за допомогою якого останній може одержати доступ до відомостей, що охороняються.
Для утворення каналу витоку інформації необхідні певні просторові, енергетичні і часові умови, а також наявність на стороні зловмисника відповідної апаратури прийому, обробки і фіксації інформації.
Взаємодію об'єкта (фірма, організація) і суб’єкта (конкурент, зловмисник) в інформаційному процесі з протилежними інтересами можна розглядати з позиції активності в діях, що призводять до оволодіння конфіденційними відомостями.
У цьому випадку можливі такі ситуації:
власник (джерело) не вживає ніяких заходів для збереження конфіденційної інформації, що дозволяє зловмиснику легко одержати відомості, які його цікавлять;
джерело інформації строго дотримується заходів інформаційної безпеки, тоді зловмиснику доводиться докладати значних зусиль для здійснення доступу до відомостей, що охороняються, використовуючи для цього всю сукупність способів несанкціонованого проникнення;
проміжна ситуація - це витік інформації технічними каналами, коли джерело ще не знає про це (інакше він вжив би заходи захисту), а зловмисник легко, без особливих зусиль може їх використовувати у своїх інтересах.
Можливі канали витоку інформації поділяються на такі групи.
Перша група. Канали, пов'язані з доступом до елементів системи обробки даних, але такі, що не потребують зміни компонентів системи. До цієї
групи належать канали, що утворюються за рахунок:
дистанційного прихованого відеоспостереження або фотографування;
застосування пристроїв підслуховування;
перехоплення електромагнітних випромінювань і наведень і т.д.
Друга група. Канали, пов'язані з доступом до елементів системи й
зміною структури її компонентів. До даної групи належать:
спостереження за інформацією з метою її запам'ятовування в процесі оброблення;
розкрадання носіїв інформації;
збір виробничих відходів, що містять оброблювану інформацію;
навмисне зчитування даних з файлів інших користувачів;
читання інформації, що залишається на носіях після виконання завдань;
копіювання носіїв інформації;
навмисне використання для доступу до інформації терміналів зареєстрованих користувачів;
маскування під зареєстрованого користувача шляхом викрадення паролів і інших реквізитів розмежування доступу до інформації, використовуваної в системах обробки;
використання для доступу до інформації так званих «люків», «дірок» і «лазівок», тобто можливостей обходу механізму розмежування доступу, що виникають внаслідок недосконалості загально - системних компонентів програмного забезпечення (операційних систем, систем керування базами даних і ін.) і неоднозначності мов програмування, застосовуваних в автоматизованих системах обробки даних.
Третя група. Канали, що утворюються за рахунок:
незаконного підключення спеціальної реєструвальної апаратури до пристроїв системи або ліній зв'язку (перехоплення мод ємного й факсимільного зв'язку);
злочинної зміни програм таким чином, щоб ці програми поряд з основними функціями обробки інформації здійснювали також несанкціоноване збирання і реєстрацію цінної інформації;
злочинного виведення з ладу механізмів захисту.
Четверта група. До складу цієї групи входять:
несанкціоноване одержання інформації шляхом підкупу або шантажу посадових осіб відповідних служб;
одержання інформації шляхом підкупу та шантажу співробітників, знайомих, обслуговуючий персонал або родичів, що знають про відповідну діяльність.
Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією суб'єктом, який не має права доступу до секретів, що охороняються.
Несанкціонований доступ до джерел конфіденційної інформації реалізується різними способами: від ініціативного співробітництва, що полягає в активному прагненні «продати» секрети, до використання різних засобів проникнення до комерційних секретів.
Розглянемо типову ситуацію, яка може виникнути в будь-якій фірмі або організації.
Після того, як фінансовий документ у філії великої компанії створено, його необхідно відправити електронною поштою в головний офіс на підпис керівникові. При цьому можуть відбутися такі події:
Документ створено, і щасливий співробітник після роботи над ним пішов на обід. У цей час зловмисник здійснив несанкціонований доступ до персонального комп'ютера співробітника й підмінив або знищив документ.
Документ створено, співробітник поклав його в теку на файловому сервері корпоративної мережі й пішов додому. У цей час його конкурент або недоброзичливець, отримавши доступ до сервера, підмінив або знищив документ.
3 ) Документ створено, співробітник поклав його в теку на файловому сервері корпоративної мережі. Відбулася атака на корпоративну мережу компанії з боку мережі Інтернет, і всі бази даних й інші матеріали знищено.
Документ створено і відправлено електронною поштою або відправлено на ftp сервер у головний офіс. При передачі документа відбулося його перехоплення й підміна.
Документ створено, переписано на дискету й відправлено з кур'єром у головний офіс. Кур'єр за день дуже втомився й забув теку з диском в транспорті.
Документ створено, оброблено, і він зберігається десь на диску якогось комп’ютера. Комп'ютер «за старістю» списується й новий власник знаходить у схованих файлах річний фінансовий звіт. Він продає звіт конкурентові.
Комп'ютер співробітника або сервер мережі був заражений вірусом, що спричинило знищення баз даних і іншої важливої інформації.
У кожному із цих випадків компанія зазнає фінансових збитків і, якщо інформація про подію виходить за межі компанії, втрачає свою репутацію на ринку.
Наведений приклад свідчить про необхідність комплексного підходу до забезпечення інформаційної безпеки, тобто потрібен захист інформації як від розголошення, так і від витоку по технічних каналах і від несанкціонованого доступу до неї з боку конкурентів і зловмисників.