- •Тематичний план навчальної дисципліни
- •Концептуальні положення безпеки комерційної діяльності підприємства Питання:
- •1. Поняття безпеки підприємницької діяльності. Складові частини формули безпеки підприємницької діяльності
- •2. Характеристика загроз безпеці підприємницької діяльності
- •3. Основні напрямки забезпечення безпеки підприємницької діяльності
- •Загрози безпеці комерційної діяльності підприємства Питання:
- •1. Структура та індикатори економічної безпеки підприємства
- •Безпека підприємства у технікотехнологічній сфері
- •Основні положення комплексного підходу до захисту безпеки комерційної діяльності підприємства Питання:
- •2. Принципи організації і функціонування системи.
- •4. Критерії надійності та ефективності системи безпеки підприємства.
- •Правова база регулювання безпеки діяльності комерційного підприємства Питання:
- •1. Правова основа забезпечення безпеки підприємницької діяльності
- •2. Правове регулювання захисту конфіденційної інформації
- •3. Умови та порядок примусового вилучення документів
- •4. Правова основа відшкодування шкоди та поновлення порушених прав фізичних та юридичних осіб як суб'єктів підприємницької діяльності
- •Фізична безпека та технології захисту Питання:
- •1. Поняття та суть фізичної безпеки. Концепція, основні завдання фізичної безпеки
- •2. Заходи загальної безпеки
- •3. Заходи з протидії рекету, захопленню заручників, правила поведінки особи під час захоплення як заручника
- •4. Технологічні заходи забезпечення безпеки Попередження злочинів через створення адекватного навколишнього середовища
- •Ешелонована система забезпечення безпеки
- •Захисні пристрої по периметру приміщення
- •Ключі для дверних замків
- •Безпека внутрішньоофісної роботи комерційного підприємства Питання:
- •1. Проблеми ризику внутрішньоофісноїроботи
- •2. Психологічна загроза внутрішньоофісній безпеці
- •3. Потенційні загрози
- •Спосіб "довгострокового партнера"
- •Розкрадання інформаційної власності
- •"Довідник" з номерами факсів
- •Шахрайство з використанням телемаркетингу
- •Шахрайство з анонімним брокерством і авансовими платежами
- •Фінансові порушення серед звітних документів
- •Робота із замовниками та постачальниками
- •Інформаційні технології
- •Вчинення корисливих злочинів шляхом крадіжок
- •Складські операції
- •Видалення і переробка відходів
- •Купівля, здійснювана персоналом
- •Купони на купівлю зі знижкою
- •Витрати
- •Виставкові зразки
- •Крадіжки, що здійснюють менеджери
- •4. Засоби контролю і попередження
- •Корпоративна культура
- •Безпека персоналу
- •Інформаційна безпека
- •Внутрішній аудит
- •Управлінський контроль
- •5. Виявлення шахрайства
- •Безпека комерційних структур під час роботи з кадрами
- •1. Забезпечення безпеки підприємницької діяльності при прийомі на роботу персоналу
- •2. Організація професійного відбору персоналу в комерційні підприємства
- •Перший етап — попередня співбесіда
- •Другий етап — збір і оцінка інформації про кандидата
- •Третій етап - тестові процедури та інші методики перевірки кандидатів
- •Четвертий етап — дослідження результатів тестування
- •П'ятий етап - заключна співбесіда
- •3. Основні рекомендації при організації перевірки кандидата
- •4. Звільнення кадрів з комерційних структур
- •Правові та організаційні основи забезпечення захисту інформації в комп'ютерних мережах Питання:
- •1. Аналіз правового забезпечення захисту інформації в Україні
- •2. Способи вчинення злочинів у сфері комп'ютерної інформації
- •Несанкціоноване перехоплення інформації
- •Методи несанкціонованого доступу до інформації
- •Комп'ютерне шахрайство та саботаж
- •3. Захист особи, індивідуальної, колективної і державної власності від злочинних комп'ютерних посягань
- •4. Інформаційна безпека комп'ютерних систем
- •Особливості захисту персональних комп'ютерів
- •Концептуальні положенн економічноїбезпеки комерціної ДяЛьності підприємства Питання:
- •1. Поняття та суть економічної безпеки
- •2. Методика визначення проблем безпеки
- •Ідентифікація ризиків
- •Оцінка ризиків
- •3. Заходи по забезпеченню економічної безпеки
- •4. Інформація як складова частина економічної безпеки
- •Фінансові шахрайства та крадіжки у кредитно-фінансових установах
- •1. Характеристика кредитної діяльності банківської системи України
- •2. Протидія шахрайствам, які вчиняються в процесі кредитної діяльності
- •Порядок дій підрозділів банку в процесі підготовки і видавання кредиту
- •Порядок дій підрозділів банку щодо корегування діяльності Позичальника перед видаванням йому кредиту
- •Порядок дій підрозділів банку щодо контролю виконання Позичальником обов'язків за кредитом
- •Порядок дій підрозділів банку щодо повернення кредиту
- •Порядок забезпечення контролю за кредитною діяльністю у банку
- •3. Найбільш розповсюджені шахрайства та крадіжки в банківських установах
- •Служба безпеки підприємства. Завдання та функції
- •1. Організація служби безпеки та основні напрямки її діяльності
- •2. Вимоги до співробітників служби безпеки
- •3. Підготовка співробітників служби безпеки
- •4. Програма забезпечення безпеки фірми
- •1. Формування розкладу для керівництва.
- •2. Навчання керівників заходам безпеки.
- •3. Особливості інформаційно-аналітичного забезпечення керівників.
- •4. Інструктування керівників про стан оперативної обстановки.
- •5. План підготовки заходів на випадок захоплення в заручники.
- •6. Здійснення персональної охорони керівників.
- •Розділ 2. Забезпечення безпеки персоналу (об'єкта) та збереження матеріально-технічних засобів та коштовностей.
- •5. Організація взаємодії з правоохоронними органами щодо забезпечення безпеки бізнесу
- •Ділова розвідка як підсистема безпеки підприємницької діяльності Питання:
- •1. Обґрунтування необхідності отримання інформації
- •2. Поняття ділової розвідки
- •Комплексна система безпеки комерцйної діяльносТі авіатранспортного підприємства Питання:
- •1. Обґрунтування необхідності отримання інформаці керівництвом авіатранспортого підриємств
- •2. Отримання, оцінка та аналіз отриманої інформації керівництвом авіатранспортного підриє мства
- •Список використаної літератури
Методи несанкціонованого доступу до інформації
Hackin - так називають в країнах Заходу протиправний доступ в комп'ютерні системи або мережі з порушенням рівня таємності. Доступ досягається зруйнуванням системи безпеки комп'ютера в обхід системи паролів. Методика несанкціонованого доступу технічно складна. "Комп'ютерні пірати" - так називають правопорушників, які без дозволу проникають у чужі інформаційні мережі. Особливу групу комп'ютерних піратів представляють хакери і крекери. Дослівно хакер - комп'ютерний хуліган, який отримує моральне задоволення від того, що проник до чужого комп'ютера для забави чи розваг. Вони прекрасні знавці інформаційної техніки. За допомогою телефону й домашнього комп'ютера підключаються до мереж, що передають дані економіки, науково-дослідних центрів, банків тощо. У більшості випадків несанкціонований доступ до комп'ютерних мереж - перший крок до більш серйозних злочинів - наприклад, комп'ютерного шпигунства.
Як свідчить практика, сьогодні існують такі методи несанкціонованого доступу до інформації:
-
"За дурнем". Цей прийом часто використовується для проникнення в закриті зони, як просторові, так і електронні. Типовий фізичний варіант: електронний пірат бере в руки дискети, інші предмети, що пов'язані з роботою на комп'ютері, і чекає біля закритих дверей, за якими знаходиться термінал, що його цікавить. У той момент, коли йде законний користувач, електронний пірат намагається пройти в двері разом з ним. Подібним шляхом здійснюється і електронний варіант, коли комп'ютерний термінал незалежного користувача підключається до лінії законного користувача через телефонні канали, або ж коли законний користувач ненадовго виходить, залишаючи термінал в робочому режимі.
-
"За хвіст". У цьому випадку незаконний користувач, підключившись до лінії зв'язку законного користувача, чекає сигналу, який вказує на кінець роботи, перехоплює його, і після закінчення активного режиму здійснює доступ до комп'ютерної системи.
-
"Комп'ютерний абордаж". Особа по черзі набирає навмання Один кодовий номер за іншим і терпляче чекає відповіді чужого комп'ютера. Після цього телефон підключають до приймача сигналів в своєму ПК - і зв'язок встановлений. Якщо після цього вдається вгадати код, процедура входження в чужу комп'ютерну мережу, можна сказати, забезпечена (це буває нескладно, оскільки слова, які є паролем, часто банальні і беруться, як правило, з інструкції по використанню комп'ютера).
-
Зрозуміло, що проникнення чужого комп'ютера в інформаційну мережу не проходить без наслідків. Пірати, при всій своїй обережності в роботі з інформацією, інколи залишають сліди. Той, хто натрапив такий напад, негайно міняє систему захисту інформації. Після цього хакери намагаються навмисне залишити сліди у першому комп'ютері інформаційної мережі, щоб персонал, який відповідає за комп'ютерну безпеку, вважав, що має справу з любителем. У результаті служба комп'ютерної безпеки послаблює увагу до контролю за іншими системами, в той час як пірати отримують до них доступ через який-небудь пролом, наприклад, через зовнішній вихід. Необхідно відзначити, що "комп'ютерний абордаж" є підготовчою стадією здійснення комп'ютерного злочину. Тих хакерів, які йдуть далі цієї стадії, криміналісти називають крекерами.
-
Непоспішний вибір. Спосіб здійснення цього злочину полягає в пошуку слабких місць у захисті системи, після чого електронний пірат може не поспішаючи, досліджувати інформацію, яка його цікавить (зберігається у цій мережі), а також копіювати її.
-
"Пролом". Електронний злочинець в цьому випадку шукає пролом, що виникає внаслідок помилок або невдалої системи побудови програми, і знайшовши, користується ним неодноразово.
-
"Люк". Це спосіб, який дозволяє розірвати програму в якомусь конкретному місці і встановити в ньому одну або декілька своїх команд. Найчастіше такий прийом використовують проектувальники інформаційних мереж і працівники організацій, які проводять профілактику і ремонт комп'ютерних систем. Особи, які самостійно виявляють "проломи", користуються таким прийомом рідше.
-
"Системні роззяви". В основу цього способу покладено несанкціонований доступ шляхом виявлення паролів, тобто процедури ідентифікації законного користувача та входу в комп'ютерну систему під його ім'ям.
-
"Маскарад" ("самозванство", "узурпація особистості"). Суть способу здійснення злочину полягає в тому, що злодій проникає в комп'ютерну мережу під виглядом законного користувача. Тому діючі сьогодні інформаційні системи, які не мають засобів ідентифікації за функціональними і фізіологічними характеристиками особистості (наприклад, за відбитками пальців, геометрії долоні, голосом тощо), залишаються незахищеними від цього способу здійснення злочину. На практиці це виглядає дуже просто. Шляхом підкупу персоналу та інших подібних дій (підслуховування через телефонні лінії, виявлення документів в організаціях, де не налагоджений достатній контроль за їх зберіганням тощо) комп'ютерний пірат здобуває коди, шифри законних користувачів, їх списки з необхідною інформацією.
-
Цей різновид злочину може бути здійснений як електронним, так і звичайним фізичним шляхом. Як правило, злочинці проникають в приміщення під виглядом різних спеціалістів, журналістів і отримують необхідну інформацію.
-
"Аварійний". Загальновідомо, що в будь-якому комп'ютерному центрі є особлива програма, яка застосовується як системний інструмент у випадках виникнення збоїв чи інших відхилень у роботі АС. Тобто вона являє собою своєрідний алгоритм діяльності у критичних, екстремальних ситуаціях. Зрозуміло, що така програма - це могутній і небезпечний інструмент в руках електронного рекетира.
-
"Склад без стін". Цей комп'ютерний злочин, як правило, здійснюється шляхом несанкціонованого доступу в комп'ютерну мережу в момент її системного збою. Наприклад, коли деякі файли користувача залишаються відкритими, зловмисник може отримати доступ до частин банку даних, що йому не належать. Простіше цей спосіб можна пояснити так. Наприклад, уявіть собі, що клієнт банку приходить у виділене для нього сховище-кімнату і виявляє, що в цьому сховищі немає однієї стіни. Це означає, що у нього з'являються реальні можливості проникнути в інші (чужі) сховища, сейфи, шафи і таким чином викрасти все, що там знаходиться.
Методи маніпуляцій з інформацією
Втручання до процесу оброблення інформації з метою введення, заміни, виправлення, знищення комп'ютерних даних чи програм або проведення інших акцій, які згідно законодавства (ст.ст. 361, 362, 363 КК України) становлять протиправні дії, пов'язані з підробкою (підлогом) і спрямовані на фальсифікацію відомостей або програмного забезпечення.
У більшості випадків злочинці здійснюють різного роду підроблення даних з метою порушення параметрів, показників, документального подання інформації у зміненому вигляді для ; подальшого її зберігання і використання під час скоєння протиправних комп'ютерних маніпуляцій та інших злочинів.
Існує багато інших способів, за допомогою яких комп'ютерні і фахівці можуть ввести фальшиві програми до електронної техніки, наприклад, в поєднанні їх з іншими програмами так, що комп'ютер нормально виконує офіційну програму, але при цьому водночас таємно виконує програму шахрая. Нижче наведемо основні методи маніпуляцій з інформацією:
-
Підміна даних. Цей комп'ютерний злочин здійснюється шляхом зміни інформації (або введення і виведення даних з ПК).
-
Підміна коду.
-
"Троянський кінь". Цей метод полягає в тому, що в чужу програму таємно вводяться команди, які видозмінюють її дії. Це дозволяє здійснювати нові функції, не заплановані власниками цієї програми, але одночасно зберігати її попередню працездатність. Як правило, за допомогою цього способу злочинці переводять на свій рахунок певну суму з кожної операції. Такі маніпуляції дуже важко виявити, оскільки "троянський кінь", що складається із декількох десятків команд, навряд чи буде помітним серед сотень тисяч, а інколи і мільйонів команд комп'ютерних програм.
-
"Троянський кінь в ланцюгах". Відрізняється від попереднього способу тим, що тут мова іде про «троянських коней» в електронних мережах комп'ютерів.
-
"Троянська матрьошка". Цей спосіб є різновидом «троянського коня». Його особливість полягає в тому, що в звичайну частину програми вставляється не команда, що виконує чорнову роботу, а команда, що її формує і після виконання знищує. Отже, щоб знайти "троянського коня", то необхідно шукати не його самого, а набір команд, які його формують.
-
Комп'ютерний вірус. Це спосіб "троянських коней" ("Зітри всі дані в цій програмі, перейди у наступну і роби так само"), який має унікальні можливості переходити через комунікаційні мережі із однієї системи в іншу, розповсюджуючись як вірусне захворювання, і знищувати у відповідності з наданою командою все на своєму шляху.
-
"Салямі". Це тактика використання "троянського коня". Спосіб базується на тому, що суми, які відраховуються із крадених грошей, невеликі і їх втрати практично непомітні - "один цент з операції". Накопичення грошей здійснюється за рахунок обробки великої кількості операцій.
-
"Логічна бомба". Спосіб таємного введення в комп'ютерну програму відповідного набору команд, які повинні обов'язково спрацювати при конкретно визначених умовах, наприклад, через визначений час або якоїсь конкретної дати.
-
"Асинхронна атака". Це досить складний спосіб здійснення комп'ютерних злочинів. Використовуючи асинхронну природу функціонування операційної системи, злочинець примушує останню працювати за помилкових умов, через що управління оброблення інформації частково або повністю порушується. Іншими словами, цей спосіб скоєння злочину заснований на поєднанні команд двох і більше користувачів, чиї програми ПК виконує одночасно (паралельно), і однією з яких є програма злочинця.
-
Моделювання.
-
"Повітряний змій". Механізм скоєння розкрадання грошових коштів полягає в такому. У двох або кількох банках відкриваються рахунки на деякі невеликі суми. Далі гроші перераховуються з одного банку в інший і навпаки з поступовим збільшенням сум. До того, як в банку виявиться, що доручення про переказ не забезпечене необхідною сумою, приходить сповіщення в даний банк про те, що загальна сума покриває вимогу про перший переказ. Далі щ цей цикл багато разів повторюється ("повітряний змій" підіймається все вище і вище) доти, поки на потрібному рахунку не виявляється достатня сума грошей (фактично вона постійно "перескакує" із одного рахунку на інший, постійно збільшуючись у розмірах). При досягненні певної суми гроші оперативно знімаються із закриванням рахунків.
-
"Пастка на живця" ("підсадна качка", "злодій у злодія"). Цей спосіб полягає в тому, що злочинцем створюється спеціальна програма, яка потім записується на фізичний носій і під будь-яким приводом вручається або підкидається потерпілій стороні з розрахунком на те, що її з будь-яких причин зацікавить ця програма і вона постарається ознайомитися з нею. Алгоритм програми побудований таким чином, що під час її роботи в певний момент часу автоматично моделюється системний збій комп'ютерної системи, на якій був запущений цей програмний продукт з метою перевірки його якості і працездатності. Далі така програма записує дані й інформацію, які можуть зацікавити злочинця. Після того як програма виконала задані їй функції, вона вилучається у потерпілої сторони з використанням різних способів.