Угрозы конфиденциальной информации

 

Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.

Под угрозой,или опасностью, утраты информациипонимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

 

■ ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

■ модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

■ разрушение (уничтожение) информации как акт вандализма с целью

 

прямого нанесения материального ущерба.

 

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале — полностью, реально — значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам: —по величине принесенного ущерба:

■ предельный, после которого фирма может стать банкротом;

 

■ значительный, но не приводящий к банкротству;

 

■ незначительный, который фирма за какое-то время может компенсировать.

по вероятности возникновения:

 

■ весьма вероятная угроза;

 

■ вероятная угроза;

 

маловероятная угроза по причинам появления:

 

■ стихийные бедствия;

■ преднамеренные действия.

 

по характеру нанесенного ущерба:

 

■ материальный;

 

■ моральный;

 

по характеру воздействия:

 

■ активные;

 

■ пассивные.

 

по отношению к объекту:

 

■ внутренние;

 

■ внешние.

 

Источниками внешних угроз являются:

 

■ недобросовестные конкуренты;

 

■ преступные группировки и формирования;

 

■ отдельные лица и организации административно- управленческого аппарата.

Источниками внутренних угроз могут быть:

 

■ администрация предприятия;

 

■ персонал;

 

■ технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

■ 82% угроз совершается собственными сотрудниками фирмы при их

 

прямом или опосредованном участии;

 

■ 17% угроз совершается извне — внешние угрозы;

 

■ 1% угроз совершается случайными лицами.

 

Угроза — это потенциальные или реальные действия, приводящие к моральному или материальному ущербу

Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газе- ты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).

Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка информации осуществляется по различным техническим каналам.

Риск угрозы дестабилизирующего воздействия любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников.

Под злоумышленником понимается лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).

В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях.