1

№3 ЗАГРОЗИ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ

Загалом факт отримання охоронюваних відомостей зловмисниками або

конкурентами називають витоком. Проте одночасно з цим в значній частині
законодавчих актів, законів, кодексів, офіційних матеріалів
використовуються і такі поняття, як розголошення відомостей і
несанкціонований доступ до конфіденційної інформації.
Ставлення об'єкта (фірма, організація) і суб'єкта (конкурент,
зловмисник) в інформаційному процесі з протилежними інтересами можна
розглядати з позиції активності в дії, яка призводить до оволодіння
конфіденційною інформацією. У цьому випадку можливі такі ситуації:
- власник (джерело) не приймає ніяких заходів до збереження
конфіденційної інформації, що дозволяє зловмисникові легко отримати цікаві
для її відомості;
- власник інформації суворо дотримується заходів інформаційной
безпеки, тоді зловмисникові доводиться докладати значних зусиль до
здійснення доступу до охоронюваних відомостей, використовуючи для цього
всю сукупність способів несанкціонованого проникнення: легальне або
нелегальне, заходовое або беззаходовое;
- проміжна ситуація - це витік інформації по технічним каналам, при
якому власник ще не знає про це (інакше він прийняв би заходи захисту), а
зловмисник легко, без особливих зусиль може їх використовувати в своїх
інтересах.

Якщо виходити з комплексного підходу до забезпечення інформаційної

безпеки, то такий розподіл орієнтує на захист інформації як від
розголошення, так і від витоку технічними каналами та від
несанкціонованого доступу до неї з боку конкурентів і зловмисників.

1. Розголошення - це навмисні або необережні дії з конфіденційною

інформацією, що призвели до ознайомлення з ними осіб, що не допущені до
них.

Розголошення виражається в повідомленні, передачі, наданні,

пересиланні, опублікуванні, втраті і в інших формах обміну і дій з діловою та
науковою інформацією.
Як правило, причиною розголошення конфіденційної інформації є
недостатнє знання працівниками правил захисту комерційних секретів і
нерозуміння необхідності їх ретельного дотримання.
 2

Припинення розголошення конфіденційної інформації - це комплекс

заходів, що виключають оприлюднення охоронюваних відомостей їх
власниками.
Умисне розголошення виробничих секретів обходиться економіці
США в 2 мільярди доларів щомісяця.

Розголошення - це навмисні або необережні дії посадових осіб і

громадян, результатом яких стало неправомірне оприлюднення
конфіденційних відомостей, і як наслідок - ознайомлення з ними осіб, не
допущених до цих відомостей. Виражається розголошення в повідомленні,
передачі, наданні, пересиланні, опублікуванні, втраті та інших способах
обміну ділової та наукової інформацією.

Розголошення конфіденційної інформації можливо:

1. При передачі інформації каналами електрозв'язку.
2. При повідомленні, оголошенні:
- на ділових зустрічах та переговорах;
- при діловому листуванні;
- на семінарах, симпозіумах, у пресі та ЗМІ;
- на виставках;
- в судових інстанціях і адміністративних органах.
3. При пересиланні документів:
- по каналах поштового зв'язку;
- кур'єрами, попутниками.
4. У разі опублікування:
- у пресі;
- в наукових дослідженнях і дисертаціях.
5. При особистому спілкуванні:
- на зустрічах;
- при телефонних переговорах.
6. У разі втрати документів:
- на роботі;
- за межами служби.
7. При безконтрольному залишенні документів:
- на робочому місці;
- на екрані ПЕОМ;
- при ксерокопіюванні.
8. При безконтрольної розробці документів:
- необґрунтоване виготовлення документів;
 3

- включенні в звичайні документи відомостей конфіденційного

характеру;
- чернетки, начерки, зіпсовані варіанти.
9. При безконтрольному документообігу:
- необгрунтована розсилка документів;
- необґрунтоване ознайомлення з документами співробітників і
співвиконавців.
10. При безконтрольному зберіганні та знищенні документів.
11. При безконтрольному прийомі документації, що надходить.

Це лише побіжне ознайомлення з можливими напрямками, умовами і

діями, що приводять до розголошення конфіденційної інформації. У житті
таких умов і напрямків значно більше і розглядати їх необхідно на
конкретних об'єктах.

Способи припинення розголошення

Важливою складовою забезпечення інформаційної безпеки фірми є
контроль лояльності її персоналу. Така робота проводиться як з метою
попередження злочинних посягань, так і для розслідування конкретних
випадків нанесення шкоди.
Невід'ємна частина цієї роботи - моніторинг телефонних переговорів,
що ведуться з офісу. Здійснюється також акустичний або візуально-
акустичний контроль розмов і дій в службових приміщеннях.

2. Витік - це безконтрольний вихід конфіденційної інформації за межі

організації або кола осіб, яким вона була довірена.

Витік інформації здійснюється за різними технічними каналами.

Відомо, що інформація взагалі переноситься або передається або енергією,
або речовиною. Це або акустична хвиля (звук), або електромагнітне
випромінювання, або аркуш паперу (написаний текст) і ін. З огляду на це
можна стверджувати, що за фізичною природою можливі такі шляхи
переносу інформації: світлові промені, звукові хвилі, електромагнітні хвилі,
матеріали і речовини. Відповідно до цього класифікуються і канали витоку
інформації на:
 візуально-оптичні,
 вібро-акустичні,
 радіоелектронні
 матеріально-речові.
 4

Під каналом витоку інформації прийнято розуміти фізичний шлях від

джерела конфіденційної інформації до зловмисника, за допомогою якого
останній може отримати доступ до охоронюваних відомостей. Для утворення
каналу витоку інформації необхідні певні просторові, енергетичні і тимчасові
умови, а також наявність на стороні зловмисника відповідної апаратури
прийому, обробки та фіксації інформації.

3. Несанкціонований доступ - це протиправне навмисне оволодіння

конфіденційною інформацією особою, яка не має права доступу до секретів,
які охоронюються.

Несанкціонований доступ до джерел конфіденційної інформації

реалізується різними способами: від ініціативного співробітництва, що
виражається в активному прагненні «продати» секрети, до використання
різних засобів проникнення до комерційних секретів. Для реалізації цих дій
зловмисникам доводиться часто проникати на об'єкт або створювати поблизу
нього спеціальні пости контролю і спостереження - стаціонарні або в
рухомому варіанті, обладнані найсучаснішими технічними засобами.

Способи несанкціонованого доступу:

1. Ініціативне співробітництво.
2. Схиляння до співпраці.
3. Вивідування.
4. Підслуховування.
5. Спостереження.
6. Розкрадання.
7. Копіювання.
8. Підробка (модифікація).
9. Знищення.
10. Незаконне підключення.
11. Перехоплення.
12. Негласне ознайомлення.
13. Фотографування.
14. Збір і аналітична обробка інформації.

Загроза безпеці інформації - сукупність умов і факторів, що створюють

потенційну або реально існуючу небезпеку порушення безпеки інформації.
Під загрозами конфіденційної інформації прийнято розуміти
потенційні чи реально можливі небезпечні дії, що призводять до
неправомірного оволодіння охоронюваними відомостями.
 5

Причини появи загроз:

• об'єктивні - причини, не пов'язані безпосередньо з діяльністю людей і
викликають випадкові за характером походження загрози;
• суб'єктивні - причини, безпосередньо пов'язані з діяльністю людини і
викликають як навмисні (діяльність розвідок іноземних держав, промислове
шпигунство, діяльність кримінальних елементів і недобросовісних
співробітників), так і ненавмисні загрози інформації (поганий
психофізіологічний стан, недостатня підготовка, низький рівень знань) .
Можливість реалізації загроз залежить від наявності вразливих місць.
Уразливості (фактори), що призводять до порушення безпеки
інформації на конкретному об'єкті інформатизації притаманні об'єкту
інформатизації і невіддільні від нього.
Загрози інформаційної безпеки діляться на два основних типи - це
природні (об'єктивні) і штучні загрози.

Природні загрози:
 Нещасні випадки.
 Стихійні лиха.

Штучні загрози за походженням можуть:

1. Ненавмисні загрози: помилки в процесі обробки інформації
(помилки користувача, оператора, збої апаратури).

2. Навмисні загрози:
 Розкрадання носіїв інформації.
 Підключення до каналів зв'язку.
 Перехоплення електромагнітних випромінювань.
 Несанкціонований доступ.
 Розголошення інформації.
 Копіювання даних.

В кінцевому підсумку все протиправні дії з інформацією призводять до

порушення її конфіденційності, цілісності, достовірності та доступності
(рис.1).
 6

Рис.1

Потенційні загрози надзвичайно різноманітні, тому важко дати навіть

їх загальну класифікацію. Зокрема, загрози можна класифікувати по їх
носіям, за програмними цілями, за заподіяний збиток, за наявності умислу, за
ступенем підготовленості і професіоналізму порушників, по скритності
виконання, по віддаленості від об'єкта захисту і ще безлічі різних ознак.
Наведемо класифікацію загроз за такими кластерам ( рис.2):

Рис. 2

Модель загроз

Модель загроз - це документ, який визначає перелік та характеристики

основних (актуальних) загроз безпеки інформації та вразливостей, які
повинні враховуватися в процесі організації захисту інформації,
проектуванні і розробці систем захисту, проведенні перевірок (контролю)
захищеності.
Цель розробки моделі загроз - визначення актуальних загроз безпеки,
джерел загроз та вразливостей інформації. Результати моделювання повинні
 7

використовуватися в якості вихідних даних для побудови (проектування)

майбутніх систем захисту інформації. Тому грамотно складені моделі загроз
дозволять адекватно захистити інформацію. З іншого боку, погано або
поверхнево складена модель загроз зробить всю подальшу роботу марною, не
дозволить вірно скласти технічне завдання на розробку системи захисту
інформації, призведе до необґрунтованих витрат на засоби захисту.