
М П 3 / Лекция_4
.docТема: Каналы несанкционированного получения информации.
Лекция 4.
4.1. Классификация методов и средств НСД
4.2. Человеческий фактор при НСД
4.2.1. Методы сбора необходимой информации
4.2.2. Источники и каналы получения информации
4.3. Организационные методы защиты.
4.3.1. Структура службы безопасности.
4.1. Классификация методов и средств НСД
Все множество средств и методов для несанкционированного получения информации можно классифицировать следующим образом:
-
средства для съема информации путем незаконного подключения к аппаратуре и линиям связи;
-
средства, позволяющие регистрировать электромагнитные излучения, паразитные наводки и генерировать помехи;
-
программные средства, использующие недостатки языков программирования и операционных систем;
-
чтение остаточной информации в ОЗУ и копирование носителей информации;
-
хищение и подмена носителей информации и хищение производственных отходов;
-
акустические и оптические средства;
-
маскировка под зарегистрированного пользователя;
-
провоцирование на разговоры и подслушивание.
Существуют статистические данные о том, какие методы и средства приносят какой ущерб:
-
подкуп, шантаж, переманивание служащих, внедрение агентов – 43 % от общего объема зафиксированных случаев НСД;
-
съем информации из каналов связи – 24 % случаев НСД;
-
проникновение в компьютеры – 18 %;
-
кража документов – 10 %;
-
прослушивание телефонных переговоров – 5 %.
Методы борьбы с НСД по п.п. 1, 4 – можно отнести к организационным мерам; а по п.п. 2, 3, 5 – к техническим. Как видно из приведенной статистики:
-
с человеческим фактором связано 53 % зафиксированных случаев НСД;
-
технические способы НСД (съем информации из каналов связи, компьютеров и прослушивание телефонных переговоров) составляют 47 % от общего числа случаев НСД.
4.2. Человеческий фактор при НСД
Статистика:
-
25 % персонала любой компании состоит из честных людей, которые остаются таковыми при любых обстоятельствах;
-
25 % - люди, ожидающие удобного случая поживиться за счет интересов фирмы;
-
50 % - лица, которые могут остаться или не остаться честными в зависимости от обстоятельств.
Итак – 75 % персонала любой компании – потенциальные изменники.
Приведем на примерах довольно простые способы получения информации.
-
Создается специальное ложное предприятие, которое предлагает работу специалистам из конкурирующих фирм. Предложения о работе публикуются, при этом указываются условия работы, заведомо лучшие, чем в компании – конкуренте. Специалист, попавший в эту ловушку, заполняет анкеты, встречается как бы с будущим начальством, чтобы понравиться будущим работодателям рассказывает, как правило, все, что знает о работе компании. Через определенное время специалист получает вежливый отказ, а подставная лже – компания продает собранную информацию конкурентам.
-
Разновидность такого метода кражи информации – просто «утечка мозгов» или внедрение служащих в конкурирующие компании. Например, японские компании до 80 % новых идей получают от такого внедрения.
-
Специалисты, занимающиеся промышленным шпионажем, утверждают, что 95 % интересующей информации можно получить из открытых публикаций, рекламных материалов и научных трудов. Такой вид шпионажа называется «невинным шпионажем» и целью специалиста является раздобыть остальные 5 % информации, в которых и скрывается «ноу – хау».
4.2.1. Методы сбора необходимой информации
Зная методы сбора информации, которыми пользуется злоумышленник или конкурент, можно с помощью комплекса организационных мер обезопасить свою организацию от нежелательной утечки, а также, зная указанные методы, планировать свои действия по сбору информации.
Далее – на основе книги «Разведка на службе Вашего предприятия» (Ч. Хант, В. Захарьян – Франция).
Одной из важнейших задач обеспечения ИБ является предоставление руководству организации в нужный момент необходимой информации, позволяющей принимать правильные решения. При этом система сбора информации должна эффективно работать в условиях, когда еще не известно, какие решения потребуется принимать. Т.к. обеспечить сбор всей доступной информации – нереальная задача, то необходим выбор баз для наблюдения, которые определяются целями организации.
Порядок получения информации следующий:
-
Выбор целей (стратегических и практических).
-
Определение потребностей на основе выбранных целей.
-
На основании потребностей - составление каталога баз – направлений для наблюдения.
Цель – желаемое, базы – необходимое, а потребности – мост между желаемым и необходимым.
При составлении каталога баз рекомендуется разделить сферу действий на 3 области:
-
Непосредственная сфера действий включает в себя все, что находится в прямой связи с деятельностью организации – от заказчиков до партнеров, включая конкурентов и вопросы технологии;
-
Сфера влияния – все, что может оказать влияние на предыдущую сферу;
-
Сфера интересов – области, которыми организация пока не занимается, но может заняться в будущем.
Рекомендуемый набор баз:
-
Конкуренция (по действующим и потенциальным клиентам);
-
Рынок (рыночная ситуация, запросы клиентов, каналы сбыта);
-
Применяемые технологии;
-
Регламенты (информация по законодательству);
-
Ресурсы (информация по финансовым и материально – техническим ресурсам);
-
Общие тенденции (политическая, экономическая, социальная, демографическая и т.п.);
-
Прочие факторы.
4.2.2. Источники и каналы получения информации
Опыт показывает, что изменение и накопление информации происходит в небольшом перечне привилегированных мест, которые называются «семейства источников».
Основные «семейства источников» для типовой коммерческой организации:
-
Заказчики и партнеры заказчиков;
-
Поставщики (систем автоматизации, жизнеобеспечения, расходных материалов и т.д.);
-
Партнеры;
-
Общественные службы – рекламные агенты, компании по связям с общественностью, почтовые службы;
-
Консультанты и эксперты;
-
Широкая публикация (местная, национальная и международная пресса);
-
Специальные издания и банки данных;
-
Выставки и конференции;
-
Нормативные документы.
Перегруппируем семейства источников следующим образом:
-
Общие публикации + специальные публикации + банки данных;
-
Заказчики + поставщики + партнеры;
-
Общественные службы + консультанты + нормативы;
-
Выставки и конференции.
Первая группировка составляет канал текст. По этому каналу получают 30 – 40% нужной информации.
Вторая группировка называется фирма. Появляется в результате контактов персонала организации с партнерами (получают 30 – 40% информации).
Третья группировка – консультант, (10 – 15 % информации).
Четвертая группировка – беседа (5 – 6 % информации).
Для получения 100 % остается еще один дополнительный канал – джокер.
Такая классификация каналов получения информации называется методикой 4К + 1.
4.3. Организационные методы защиты.
4.3.1. Структура службы безопасности.
-
Начальник службы безопасности
-
Группа режима – функции:
-
Определение перечня конфиденциальных сведений (метки безопасности);
-
Разработка положений и инструкций и допуск к работе с конфиденциальной информацией;
-
Изучение кандидатов для приема на работу;
-
Учет информации, персонала, ценностей;
-
Контрольные проверки документов, ценностей, персонала
-
Группа охраны, сопровождения – функции:
-
Физическая охрана объекта;
-
Доставка ценностей;
-
Работа с системами охраны и защиты объекта
-
Техническая группа – функции:
-
Установка, настройка и обеспечение работоспособности средств связи, охраны и защиты;
-
Подготовка и реализация предложений по повышению эффективности защиты.
-
Детективная группа – объекты работы:
-
Проверки кандидатов для приема на работу;
-
Персонал, клиенты, окружение объекта, конкуренты, связь с правоохранительными органами.