ЛЕКЦИЯ 12 Классификация методов и средств НСД. Человеческий фактор при НСД. Организационные методы защиты.

4.1. Классификация методов и средств НСД

4.2. Человеческий фактор при НСД

4.2.1. Методы сбора необходимой информации

4.2.2. Источники и каналы получения информации

4.3. Организационные методы защиты

4.3.1. Структура службы безопасности

4.1. Классификация методов и средств НСД

Все множество средств и методов для несанкционированного получения информации можно классифицировать следующим образом:

• средства для съема информации путем незаконного подключения к аппаратуре и линиям связи;

• средства, позволяющие регистрировать электромагнитные излучения, паразитные наводки и генерировать помехи;

• программные средства, использующие недостатки языков программирования и операционных систем;

• чтение остаточной информации в ОЗУ и копирование носителей информации;

• хищение и подмена носителей информации и хищение производственных отходов;

• акустические и оптические средства;

• маскировка под зарегистрированного пользователя;

• провоцирование на разговоры и подслушивание.

Существуют статистические данные о том, какие методы и средства приносят какой ущерб:

1. подкуп, шантаж, переманивание служащих, внедрение агентов – 43 % от общего объема зафиксированных случаев НСД;

2. съем информации из каналов связи – 24 % случаев НСД;

3. проникновение в компьютеры – 18 %;

4. кража документов – 10 %;

5. прослушивание телефонных переговоров – 5 %.

Методы борьбы с НСД по п.п. 1, 4 – можно отнести к организационным мерам; а по п.п. 2, 3, 5 – к техническим. Как видно из приведенной статистики:

• с человеческим фактором связано 53 % зафиксированных случаев НСД;

• технические способы НСД (съем информации из каналов связи, компьютеров и прослушивание телефонных переговоров) составляют 47 % от общего числа случаев НСД.

4.2. Человеческий фактор при НСД

Статистика:

• 25 % персонала любой компании состоит из честных людей, которые остаются таковыми при любых обстоятельствах;

• 25 % - люди, ожидающие удобного случая поживиться за счет интересов фирмы;

• 50 % - лица, которые могут остаться или не остаться честными в зависимости от обстоятельств.

Итак – 75 % персонала любой компании – потенциальные изменники.

Приведем на примерах довольно простые способы получения информации.

1. Создается специальное ложное предприятие, которое предлагает работу специалистам из конкурирующих фирм. Предложения о работе публикуются, при этом указываются условия работы, заведомо лучшие, чем в компании – конкуренте. Специалист, попавший в эту ловушку, заполняет анкеты, встречается как бы с будущим начальством, чтобы понравиться будущим работодателям рассказывает, как правило, все, что знает о работе компании. Через определенное время специалист получает вежливый отказ, а подставная лже – компания продает собранную информацию конкурентам.

2. Разновидность такого метода кражи информации – просто «утечка мозгов» или внедрение служащих в конкурирующие компании. Например, японские компании до 80 % новых идей получают от такого внедрения.

3. Специалисты, занимающиеся промышленным шпионажем, утверждают, что 95 % интересующей информации можно получить из открытых публикаций, рекламных материалов и научных трудов. Такой вид шпионажа называется «невинным шпионажем» и целью специалиста является раздобыть остальные 5 % информации, в которых и скрывается «ноу – хау».

4.2.1. Методы сбора необходимой информации

Зная методы сбора информации, которыми пользуется злоумышленник или конкурент, можно с помощью комплекса организационных мер обезопасить свою организацию от нежелательной утечки, а также, зная указанные методы, планировать свои действия по сбору информации.

Далее – по книги «Разведка на службе Вашего предприятия» (Ч. Хант, В. Захарьян – Франция).

Одной из важнейших задач обеспечения ИБ является предоставление руководству организации в нужный момент необходимой информации, позволяющей принимать правильные решения. При этом система сбора информации должна эффективно работать в условиях, когда еще не известно, какие решения потребуется принимать. Т.к. обеспечить сбор всей доступной информации – нереальная задача, то необходим выбор баз для наблюдения, которые определяются целями организации.

Порядок получения информации следующий:

1. Выбор целей (стратегических и практических).

2. Определение потребностей на основе выбранных целей.

3. На основании потребностей - составление каталога баз – направлений для наблюдения.

Цель – желаемое, базы – необходимое, а потребности – мост между желаемым и необходимым.

При составлении каталога баз рекомендуется разделить сферу действий на 3 области:

• Непосредственная сфера действий включает в себя все, что находится в прямой связи с деятельностью организации – от заказчиков до партнеров, включая конкурентов и вопросы технологии;

• Сфера влияния – все, что может оказать влияние на предыдущую сферу;

• Сфера интересов – области, которыми организация пока не занимается, но может заняться в будущем.

Рекомендуемый набор баз:

• Конкуренция (по действующим и потенциальным клиентам);

• Рынок (рыночная ситуация, запросы клиентов, каналы сбыта);

• Применяемые технологии;

• Регламенты (информация по законодательству);

• Ресурсы (информация по финансовым и материально – техническим ресурсам);

• Общие тенденции (политическая, экономическая, социальная, демографическая и т.п.);

• Прочие факторы.

4.2.2. Источники и каналы получения информации

Опыт показывает, что изменение и накопление информации происходит в небольшом перечне привилегированных мест, которые называются «семейства источников».

Основные «семейства источников» для типовой коммерческой организации:

• Заказчики и партнеры заказчиков;

• Поставщики (систем автоматизации, жизнеобеспечения, материалов и т.д.);

• Партнеры;

• Общественные службы – реклама, общественные организации, почта;

• Консультанты и эксперты;

• Широкая публикация (местная, национальная и международная пресса);

• Специальные издания и банки данных;

• Выставки и конференции;

• Нормативные документы.

Перегруппируем семейства источников следующим образом:

Общие публикации + специальные публикации + банки данных;

Заказчики + поставщики + партнеры;

Общественные службы + консультанты + нормативы;

Выставки и конференции.

Первая группировка составляет канал текст.

По этому каналу получают 30 – 40% нужной информации.

Вторая группировка называется фирма.

Появляется в результате контактов персонала организации с партнерами (30 – 40%).

Третья группировка – консультант, (10 – 15 % информации).

Четвертая группировка – беседа (5 – 6 % информации).

Для получения 100 % остается еще один дополнительный канал – джокер.

Такая классификация каналов получения информации называется методикой 4К + 1.

4.3. Организационные методы защиты.

4.3.1. Структура службы безопасности.

• Начальник службы безопасности

• Группа режима – функции:

• Определение перечня конфиденциальных сведений (метки безопасности);

• Разработка положений и инструкций и допуск к работе с конфиденциальной информацией;

• Изучение кандидатов для приема на работу;

• Учет информации, персонала, ценностей;

• Контрольные проверки документов, ценностей, персонала

• Группа охраны, сопровождения – функции:

• Физическая охрана объекта;

• Доставка ценностей;

• Работа с системами охраны и защиты объекта

• Техническая группа – функции:

• Установка, настройка и обеспечение работоспособности средств связи, охраны и защиты;

• Подготовка и реализация предложений по повышению эффективности защиты.

• Детективная группа – объекты работы:

• Проверки кандидатов для приема на работу;

• Персонал, клиенты, окружение объекта, конкуренты, связь с правоохранительными органами.