Материал: Причины и условия, источники и способы дестабилизирующего воздействия на защищаемую информацию

Классифицируем все возможные каналы несанкционированного получения информации(КНПИ) по двум критериям: необходимости доступа (физического или логического) к элементам АС для реализации того или иного КНПИ и зависимости появления КНПИ от состояния АС.

По первому критерию КНПИ могут быть разделены на не требующие доступа, т.е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений АС) и требующие доступа в помещения АС. В свою очередь, КНПИ, воспользоваться которыми можно только получив доступ в помещения АС, делятся на не оставляющие следы в АС (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях) и на КНПИ, использование которых оставляет те или иные следы (например, хищение документов или машинных носителей информации).

По второму критерию КНПИ делятся на потенциально существующие независимо от состояния АС (например, похищать носители информации можно независимо от того, в рабочем состоянии находятся средства АС или нет) и существующие только в рабочем состоянии АС (например, побочные электромагнитные излучения и наводки).

В соответствии с изложенным классификационная структура КНПИ может быть представлена следующей таблицей (см. табл. 3.2).

Приведем ориентировочный перечень каналов несанкционированного получения

информации выделенных нами классов.

КНПИ 1-го класса - каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использование злоумышленником визуальных, оптических и акустических средств. Данный канал может проявиться и путем хищения носителей информации в момент их нахождения за пределами помещения, где расположена АС.

Классификационная структура каналов несанкционированного получения информации

КНПИ 2-го класса - каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и канализации, шинах заземления, подключение к информационно-вычислительной сети генераторов помех и регистрирующей аппаратуры. К этому же классу может быть отнесен осмотр отходов производства, попадающих за пределы контролируемой зоны.

КНПИ 3-го класса - каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних. К ним относятся всевозможные виды копирования носителей информации и документов, а также хищение производственных отходов.

КНПИ 4-го класса - каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе обработки, использование программных ловушек, недостатков языков программирования и операционных систем, а также пораженности программного обеспечения вредоносными закладками, маскировка под зарегистрированного пользователя.

КНПИ 5-го класса - каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением последних. Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа «троянский конь», «компьютерный червь» и т.п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов.

КНПИ 6-го класса - каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.

.       
Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию

В процессе деятельности предприятия или организации защищаемая информация может по различным причинам выйти из владения субъектов, которые являются ее собственниками, или которым она была доверена, или стала известной по службе или работе. При этом защищаемая информация выходит за пределы установленной сферы обращения, охраняемой специальными режимными мерами, и утрачивается контроль за ее распространением - происходит утечка информации.

Термин "утечка информации" давно закрепился в научной литературе и нормативных документах, однако единого подхода к определению этого термина нет. Наиболее распространенные определения в обобщенном виде сводятся либо к неправомерному (неконтролируемому) выходу конфиденциальной информации за пределы организаций и круга лиц, которым эта информация доверена, либо к несанкционированному завладению конфиденциальной информацией соперником.

Первый вариант не раскрывает в полной мере сущности утечки, так как он не принимает во внимание последствий неправомерного выхода конфиденциальной информации. А они могут быть двоякими: информация может попасть в руки лиц, не имеющих к ней санкционированного доступа, или может и не попасть. Например, потерянный носитель конфиденциальной информации означает неправомерный выход информации за пределы лиц, имеющих к ней доступ, но он может попасть в чужие руки, а может быть перехвачен мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки информации не происходит.

Второй вариант связывает утечку информации с неправомерным завладением конфиденциальной информацией только соперником. В таком случае, к примеру, средства массовой информации, публикуя полученные ими конфиденциальные сведения, явно способствуют утечке информации, хотя они и не являются соперником собственника информации. Однако благодаря таким публикациям может произойти утечка информации, так как настоящий соперник сможет правомерно (на законных основаниях) получить интересующую его информацию.

В то же время утечка информации не означает получение ее только лицами, не работающими на предприятии, к утечке может привести и несанкционированное ознакомление с конфиденциальной информацией сотрудников данного предприятия.

Исходя из изложенного, можно сформулировать следующее определение: утечка информации - это неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа.

Наряду с утечкой информации следует выделить и такие близкие к ней понятия, как разглашение, раскрытие и распространение защищаемой информации, несанкционированный доступ к ней.

Разглашение защищаемой информации - это несанкционированное ознакомление с такой информацией лиц, не имеющих законного доступа к ней, осуществленное лицом, которому эти сведения были доверены или стали известны по службе. Разглашение может быть совершено среди своих коллег, не имеющих доступа к данной информации, среди родственников, знакомых и иных лиц.

Раскрытие защищаемой информации - это опубликование ее в средствах массовой информации, использование в выступлениях на публичных конференциях или симпозиумах лицами, которым эти сведения стали известны по службе. Вследствие таких действий защищаемая информация становится достоянием неопределенно широкого круга лиц и утрачивает свою секретность.

Распространение защищаемой информации - это открытое использование сведений ограниченного распространения.

Несанкционированный доступ - получение в обход системы защиты с помощью программных, технических и других средств, а также в силу сложившихся случайных обстоятельств доступа к защищаемой информации.

Одной из наиболее важных проблем защиты информации является защита самих носителей информации, так как защищаемые сведения не могут существовать отдельно от них. Однако не все носители можно спрятать в сейф или за прочные стены, ведь информацией могут располагать люди, она содержится в различного рода излучениях, каналах связи и т.п. Обычно к ним и стремится получить доступ соперник, прокладывая пути к интересующей его информации.

Таким образом, источник утечки защищаемой информации - это любой носитель конфиденциальной информации, к которому сумел получить несанкционированный доступ соперник, располагающий необходимыми знаниями и техническими средствами для "снятия", извлечения информации с носителя, ее расшифровки и использования в своих целях в ущерб интересам собственника информации.

Наиболее распространенными причинами утечки информации являются:

-       несовершенство нормативных актов, регламентирующих защиту информации;

-       недостаточность наличных сил и средств для перекрытия каналов утечки информации;

-       нарушение лицами, допущенными к работе с защищаемой информацией, установленных правил ее защиты.

Указанные причины приводят к утечке информации в том случае, если этому способствуют соответствующие субъективные или объективные условия.
К субъективным условиям утечки информации относятся:

-       незнание исполнителями нормативных актов по вопросам защиты информации;

-       слабая воспитательно-профилактическая работа в коллективе;

-       недостаточное внимание со стороны руководителей к вопросам обеспечения режима секретности;

-       слабый контроль за состоянием системы сохранения секретов;

-       принятие руководителями решений без учета требований режима секретности.

К объективным условиям утечки информации относятся:

-       несовершенство или отсутствие нормативных актов, регламентирующих правила защиты информации по отдельным вопросам;

-       несовершенство перечня сведений, подлежащих засекречиванию;

-       текучесть кадров из режимных подразделений;

-       несоответствие помещений требованиям, необходимым для осуществления работ с секретными документами и изделиями.

Указанные причины и условия создают предпосылки и возможности для образования канала утечки защищаемой информации. Не следует отождествлять это понятие с каналом связи, который представляет собой канал (физическую среду) передачи информации от одной системы (передатчика) к другой (приемнику).

Канал утечки защищаемой информации - это социальное явление, отражающее противостояние защитника (собственника) информации и его соперников. В зависимости от используемых соперником сил и средств для получения несанкционированного доступа к носителям защищаемой информации различают агентурные, технические, легальные и иные каналы утечки информации.

Агентурные каналы утечки информации - это использование противником тайных агентов для получения несанкционированного доступа к защищаемой информации.

Технические каналы утечки информации - это совокупность технических средств разведки, демаскирующих признаков объекта защиты и сигналов, несущих информацию об этих признаках.

Легальные каналы утечки информации - это использование соперником открытых источников информации, выведывание под благовидным предлогом сведений у лиц, которым они доверены по службе.

Иными каналами утечки информации являются добровольная (инициативная) выдача сопернику защищаемой информации, экспортные поставки секретной продукции за рубеж и т.п.

Утрата и утечка информации могут рассматриваться как виды уязвимости информации. Суммируя соотношение форм и видов уязвимости защищаемой информации, можно сделать следующие выводы:

.        Формы проявления уязвимости информации выражают результаты конкретного дестабилизирующего воздействия на информацию, а виды уязвимости - конечный суммарный итог реализации различных форм уязвимости.

.        Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, так как не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате. Если к утрате информации приводит хищение носителей, то к утечке может привести не только хищение носителей, но и копирование, разглашение отображенной в них информации.

. Неправомерно отождествлять виды и отдельные формы проявления уязвимости информации (утрата = потеря, утрата = хищение, утечка = разглашение), заменять формы проявления уязвимости информации способами дестабилизирующего воздействия на информацию, а также ставить в один ряд формы и виды уязвимости защищаемой информации, как это, в частности, сделано в законе "Об информации, информатизации и защиты информации", где одной из целей защиты названо "предотвращение утечки, хищения, утраты, искажения, подделки информации.

.        Методы и модели оценки уязвимости информации

Уязвимость информации есть событие, возникающее как результат такого стечения обстоятельств, когда в силу дестабилизирующих воздействий на защищаемую информацию используемые в АСОД средства защиты не в состоянии оказать достаточного противодействия. Модель уязвимости информации в АСОД в самом общем виде представлена на рис. 1.

Рис.1. Общая модель воздействия на информацию

Данная модель детализируется при изучении конкретных видов уязвимости информации: нарушения физической или логической целостности, несанкционированной модификации, несанкционированного получения, несанкционированного размножения.

При детализации общей модели основное внимание акцентируется на том, что подавляющее большинство нарушений физической целостности информации имеет место в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации в каждом объекте АСОД существенно зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его вход. Основную опасность представляют случайные дестабилизирующие факторы (отказы, сбои и ошибки компонентов АСОД), которые потенциально могут проявиться в любое время, и в этом отношении можно говорить о регулярном потоке этих факторов. Из стихийных бедствий наибольшую опасность представляют пожары, опасность которых в большей или меньшей степени также является постоянной. Опасность побочных явлений практически может быть сведена к нулю путем надлежащего выбора места для помещений АСОД и их оборудования. Что касается злоумышленных действий, то они связаны, главным образом, с несанкционированным доступом к ресурсам АСОД. При этом наибольшую опасность представляет занесение вирусов.