intro.htm Введение На современном этапе, когда произошла коренная переоценка ценностей, многие традиционные ресурсы человеческого прогресса утрачивают свое первостепенное значение. Но информация как была, так и остается одним из главных ресурсов научно-технического и социально-экономического развития мирового сообщества. Мало того, очень скоро хорошо налаженная информационная сеть будет призвана сыграть в повседневной жизни такую роль, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Информация влияет не только на ускорение прогресса в науке и технике, но и на обеспечение охраны общественного порядка, сохранности собственности, общение между людьми и другие социально значимые области. Воистину она пронизывает все сферы жизнедеятельности людей, ибо в основе любого решения - информация. И чем объем и достоверность имеющейся у вас информации выше, тем, как правило, выше и оптимальность принятого решения. И наоборот, чем меньшим объемом информации о вас владеет ваш конкурент, тем шире у вас простор для маневра. Поэтому информация может быть использована особой категорией населения в преступных и других антигуманных целях. Она также может стать в руках ненадежных и эксцентричных людей грозным оружием в борьбе с конкурентом или при ведении «войны компроматов». Примеры таких деяний так часто мелькают в газетах и на экранах, что на них уже почти перестали обращать внимание, если это не что-то из ряда вон выходящее, например, обнаружение подслушивающего устройства в кабинете главного редактора «Комсомольской правды» (1998) или скандал с фирмой «Атолл» (февраль, 1999), которая будто бы прослушивала разговоры даже членов семьи Президента. Отсюда очень актуальной становится проблема обеспечения информационной безопасной деятельности не только государственного служащего (что у нас всегда было на высоте), но и бизнесмена, предпринимателя, юриста, публичного политика, да и просто достаточно известного в обществе человека. По мнению компетентных экспертов, в случае полного рассекречивания информации о деятельности коммерческой фирмы последняя в условиях нашего «дикого» рынка просуществует от нескольких часов до нескольких дней. Ана- логичная участь ожидает и подавляющее большинство коммерческих банков. Не менее серьезными могут быть последствия в случае утечки каких-нибудь материалов, компрометирующих политика или крупного бизнесмена. Такой человек легко может стать объектом шантажа и даже полностью утратить самостоятельность действий. Здесь вспоминается громкое дело «голого министра», стоившее в 1998 году карьеры министру юстиции России В. Ковалеву и в конечном итоге доведшее его до «Бутырки». И другой пример, когда в аналогичной ситуации оказался Генеральный прокурор Ю. Скуратов. Главное завоевание перестройки - свободная пресса, как оказалось, имеет и другую сторону медали: некоторые издания начали подлинную охоту за знаменитостями. Притом охоту весьма специфическую: любым способом добываются «жареные факты», интимные подробности, семейные скандалы и весь этот мутный поток выплескивается на читателя. Таким образом, проблема защиты информации и обеспечения конфиденциальности личной жизни приобретает актуальность для очень многих людей, чья деятельность находится вне области, где эти вопросы решают государственные органы. И, конечно, каждому хочется для укрепления своей безопасности использовать самые надежные, современные методы и средства, учитывающие все особенности приемов несанкционированного добывания сведений. Раз есть спрос, то будет и предложение. Но, к большому сожалению, к этой деятельности, как и к любому делу, сулящему деньги, обратилось довольно много некомпетентных, а иногда попросту нечестных людей. Положение усугубляется еще и тем, что из-за своеобразного хода истории современный российский предприниматель не имеет традиций поведения в условиях промышленного шпионажа. Так, если в дореволюционной России, где существовал весьма развитый рынок услуг по получению любых сведений о конкурентах или потенциальных партнерах, любой предприниматель был всегда настороже и четко знал основные правила поведения, а также приемы и способы защиты, то в советской России коммерческая тайна была отменена официально «Положением о рабочем контроле», принятом ВЦИК в ноябре 1917 года. Вместо рынка ввели распределительную систему, конкуренцию заменили соцсоревнованием, а все предприятия обязали непременно обмениваться опытом. Однако справедливости ради надо отметить, что военную и государственную тайну хранить умели и притом с эффективностью, которой на Западе могли только позавидовать (об этом свидетельствуют весьма поучительные мемуары наших «бывших» противников). Развитие рыночных отношений, развал очень жесткой системы контроля за ввозом и производством специальной техники, массовый уход из бывшего КГБ, ГРУ и МВД профессионалов высшего класса - все это привело к возрождению буквально за два-три года рынка услуг по добыванию информации о конкурентах. Но рынка с «русской спецификой»: к относительно немногочисленным «профи», действующим осторожно и эффективно (поэтому и борьба с ними -дело тоже сугубо для профессионалов), прибавились многочисленные шпионы-любители, когда-то нахватавшиеся поверхностных знаний на каких-нибудь краткосрочных курсах или просто начитавшиеся детективов. но и эти дилетанты находят своих клиентов, потому что, как правило, на уровне читателя такого рода романов находятся знания и у объектов их внимания. Именно это и открывает широкое поле деятельности для разного рода мошенников и проходимцев. Некоторые из них, всевозможными путями приобретя самую примитивную аппаратуру, открывают сомнительные частные сыскные агентства по добыванию информации любого рода, и даже, бывает, добиваются определенных результатов, конечно, если не встречают хоть самого простого противодействия. Другие, наоборот, открывают различные конторы с громкими названиями по защите информации, а в ряде случаев одна и та же фирма ведет оба вида деятельности. Польза от таких «защитников» при серьезной угрозе практически нулевая, а правильней сказать - со знаком минус, поскольку они дают людям ложную иллюзию защищенности, что невольно расслабляет человека. И хотя беспредел начала 90-х годов в этой сфере деятельности, наконец, подходит к концу, прохиндеи дело не сворачивают, а лишь уходят «в тень». Чтобы не стать жертвой ни одной из разновидностей этих мошенников, лицам, имеющим дело с конфиденциальной информацией, просто жизненно необходимо обладать некоторой подготовкой и достаточно квалифицированно ориентироваться во всем спектре вопросов обеспечения информационной безопасности, понимать их комплексный и взаимообусловленный характер. Несмотря на появившиеся в большом количестве книги, посвященные защите информации, далеко не все из них отвечают интересам читателей. Зачастую это подробное рассмотрение некоторых частных аспектов, понятных лишь специалисту, либо, наоборот, чересчур поверхностное рассмотрение достаточно важных практических вопросов. Последние, конечно, читаются с интересом, но никакой практической пользы принести не могут. Этот пробел и решили заполнить, выпуском данной книги, сотрудники Санкт-Петербургской Лаборатории противодействия промышленному шпионажу (Лаборатория ППШ) и кафедры радиоэлектронной борьбы и защиты информации Военного инженерно-космического университета имени А. Ф. Можайского, которые многие годы профессионально занимаются проблемами защиты информации. Идея книги возникла в 1992 году после двух первых «контактов» с мошенниками. Тогда в Лабораторию ППШ, которая только обрела свой статус, обратился один из городских коммерческих банков с просьбой дать консультацию по поводу предложений некоего совершенно непонятного совместного предприятия (СП) о разработке концепции информационной безопасности для этого финансового учреждения. Двое иностранных граждан, заручившись самыми высокими рекомендациями (правда, не специалистов, а чиновников совсем другого профиля), настойчиво осаждали руководство банка и заявляли, что готовы за три дня «на основе самых последних достижений американской науки» создать для них «самую точную концепцию защиты всей информации банка». При этом они рассказывали множество «ужасающих» историй о крахах и ограблениях тех банков, которые не захотели воспользоваться их помощью. Мы попросили разрешения присутствовать на встрече с новоявленными «информационными гениями». В кабинет управляющего вошли два очень энергичных молодых человека, и на присутствующих полился поток слов и терминов, многие из которых, кстати, никакого отношения к делу не имели. На вопрос: «Сколько стоит разработка концепции?»- последовал мгновенный ответ: «17 650 долларов!» Вопрос о том, сколько будет стоить обеспечение безопасности одного рабочего места, на секунду вызвал замешательство, но потом опять полились слова о том, что концепция -это не мелкие детали, а стратегия. Зато вопросы о перекрываемых каналах утечки, сертификации и примерном перечне аппаратуры привели к тому, что наши бывшие земляки, а ныне американские «гринкартовцы» весьма поспешно ретировались. Случай, конечно, уникальный по своей наглости, но он заставил нас задуматься о том, что даже очень грамотные в своей области люди (руководители банка), могут быть полными профанами в другой, и прав был незабвенный Козьма Прутков: «Специалист подобен флюсу: полнота его одностороння». Через некоторое время в Лабораторию ППШ за помощью обратился генеральный директор небольшого ликеро-водочного завода. Бизнесмен заподозрил, что у него идет утечка информации, поскольку один из его клиентов всегда четко торгуется до предельной цены, только-только согласованной на закрытом совещании. Предположение о применении подслушивающих устройств было с негодованием отвергнуто начальником службы безопасности, а директор с неподдельной гордостью заявил, что он человек прогрессивный и не просто проверяет свой офис раз в месяц, но и имеет договор с некой фирмой. «Только три дня назад все здесь обследовали, - сказал он. - Бегали по всему заводу с приемниками». Последняя фраза нас насторожила, и мы все-таки уговорили винокуров провести проверку. Через полчаса перед потрясенным директором (надо отдать должное его чутью коммерсанта, он правильно заподозрил в нечестности своего партнера) были выложены два примитивных, самодельных подслушивающих устройства, которые профессионал просто не мог ни обнаружить. Более подробные расспросы позволили сделать вывод, что проверка «фирмы» сводилась к тому, что 5-6 человек, вооружившись спортивными приемниками для «охоты на лис», изображали попытки что-то запеленговать. Из всех приемников «лисолов», пожалуй, наименее пригоден для обнаружения «жучков» в помещении, но зато имеет очень внушительный внешний вид, что и стало решающим аргументом для самозванцев. По просьбе директора его начальник службы безопасности (бывший спецназовец) посетил несколько занятий в Лаборатории ППШ, и мы уверены, что таких проколов у него больше не будет. Кроме этих, по-своему даже и курьезных, случаев сотрудникам Лаборатории пришлось столкнуться и с подлинными человеческими трагедиями, когда в одночасье терялись нажитые тяжелым трудом капиталы, терпели крах фирмы, разорялись акционеры, и все из-за пренебрежения элементарными правилами безопасности. Это еще больше убедило нас в необходимости появления книги, где в форме, доступной для любого грамотного человека, но не имеющего специального образования, были бы изложены основные правила обеспечения безопасности информации, притом охватывающей все стадии этого процесса: от оценки угрозы до реализации собственной системы защиты. Однако в начале 90-х годов все наши обращения в солидные издательства заканчивались тем, что, ознакомившись с планом книги, редактор категорически отказывался от этой тематики (глубоко в нас еще сидит тоталитарное «низя»). В 1994 году тиражом в 1000 экземпляров силами Лаборатории все-таки была выпущена брошюра «Промышленный шпионаж в России: методы и средства». Ее успех укрепил нашу решимость добиться издания полноценной книги, и мы очень благодарны издательству «Полигон», которое сразу согласилось оказать нам содействие. Книга состоит из двух частей. В первой части изложены основные методы, которыми пользуются для несанкционированного доступа к информации, при этом акцент сделан на технические средства. Описаны практически все виды подслушивающей (в широком смысле этого слова) аппаратуры, которые используются в промышленном шпионаже, приемы и тактика ее применения. Для специалистов приведены и схемы некоторых устройств, чтобы было более понятно, как они работают, а значит, почему защита от них осуществляется тем или иным способом. Номиналы элементов на схемах не приводятся либо изменены, так как у нас нет желания делать руководство для доморощенных шпионов. Любителям в очередной раз хочется напомнить, что эта работа требует не только специального образования, но значительных денег и самое главное - большого ума. Конечно, книга не может охватить все без исключения методы и средства, о некоторых авторы умышленно умалчивают, поскольку не пришло еще время, и не хотелось бы создавать трудности правоохранительным органам в работе по защите нас с вами от преступников и иностранных шпионов. Цель этой части - дать реальное представление о возможностях злоумышленников и заодно развеять некоторые устоявшиеся литературные мифы (увы, далеко не все авторы детективов владеют этим сложным материалом). Будем считать, что это одна сторона медали. Вторая часть посвящена вопросам организации защиты информации от несанкционированного доступа. Обеспечить 100-процентную защиту на все случаи жизни, конечно, невозможно, поэтому основным критерием ее эффективности служит соотношение финансовых затрат нарушителя на преодоление системы защиты и стоимости полученной информации. Если последняя - меньше затрат нарушителя, то уровень защиты считается достаточным. Поэтому в книге не описаны очень дорогие, экзотические методы и приведены средние цены, как на аппаратуру съема информации, так и на аппаратуру ее защиты. Достаточно подробно рассмотрены и нормативно-правовые аспекты, регламентирующие информационные отношения в обществе. Для тех, кто не ожидает угрозы своей деятельности от серьезных структур и собирается самостоятельно осуществлять защиту только от шпионов-любителей, достаточно подробно освещены организационные и технические мероприятия, позволяющие справиться с этой задачей. Приведен перечень, а также описаны принцип действия, технические характеристики и приемы работы с основными видами аппаратуры контроля и поиска устройств, предназначенных для скрытого съема информации. Схемы этой части уже имеют все необходи- мые номинации для их изготовления. Конечно, в таких деталях приведены только самые простейшие приборы, чтобы их можно было изготовить в домашних условиях. Данный материал будет полезен и тем гражданам, которые уже прибегают к услугам профессионалов. Во-первых, чтобы понимать их действия, а во-вторых, чтобы не стать жертвой мошенников, как питерские виноделы. Это вторая, и самая важная, сторона. Вместе с тем, авторы не пытались изложить материал, как полные знания, необходимые специалисту, что и невозможно в одной книге, а главным образом стремились через этот материал дать представление об основных методах и направлениях защиты информации, которые реально используются или могут быть использованы в ближайшее время. Надеемся, что бизнесмены, юристы, руководители частных служб безопасности, да и просто люди, по разным причинам ставшие носителями коммерческих или других секретов, прочитав книгу, получат представление о реальных возможностях злоумышленников и мерах противодействия им. В настоящем издании наряду с нашим личным опытом использованы и другие материалы из области защиты информации, которые были опубликованы и показались нам интересными. Мы выражаем благодарность всем авторам, чей труд помог в работе над этим изданием. Полный перечень использованной литературы приведен в конце книги. Особую признательность авторы выражают всем сотрудникам кафедры Радиоэлектронной борьбы и защиты информации Военного инженерно-космического университета имени А Ф. Можайского, Лаборатории ППШ, а также кафедры Оперативно-технического обеспечения деятельности ОВД Санкт-Петербургского университета МВД России, оказавшим существенную помощь в работе над рукописью. Поскольку это первая книга такого рода, то, естественно, она не может обойтись без некоторых шероховатостей, поэтому авторы будут рады выслушать мнение об изложенном материале как от специалистов, так и от любых заинтересованных лиц. Ваши отзывы и пожелания просим направлять по адресу: 190000, Россия, Санкт-Петербург, переулок Гривцова, 1/64, Лаборатория ППШ, тел.: (812) 219-11-27, 314-22-59 факс:(812) 315-83-75 E-mail: postmaster@pps.spb.su Website: http://www.pps.ru