| |||||
МЕНЮ
| Некоторые вопросы анализа деловых проблемпокупатели и т. д. Люди не только обладают и распространяют информацию, они способны ее анализировать, обобщать, делать выводы, а также скрывать или совершать какие-либо криминальные действия с информацией. Документы. Документы — самая распространенная форма накопления, хранения и обмена информацией. Они весьма разнообразны по своему функциональному назначению, содержанию и материальным носителям, обычно о сохранности и защите документов проявляют особую заботу, но... Публикации. Публикации — это информационные носители в виде открытых изданий: книги, статьи, доклады, рекламные проспекты и т. д. Одним из лучших источников конфиденциальной информации являются болтуны, поэтому на съездах специалистов, конференциях, научных семинарах, семинарах по обмену опытом умельцы собирают самую свежую и ценную информацию. По оценкам специалистов, до 60% секретной военной информации и до 95% важной промышленной информации можно получить из открытых источников. Технические носители информации. Технические носи информации — это бумажные носители, кино- и фотоматериалы, магнитные носители, аудио- и видеоносители, распечатки программ и данных на принтерах и экранах ЭВМ, табло индивидуального или коллективного пользования и др. Опасность утечки информации, связанная с техническими носителями, в том, что их парк, как и парк ЭВМ, растет очень быстро, широко доступен и трудно контролируем. Технические средства обеспечения производственной деятельности. В эту группу входят средства и каналы связи, охранные и пожарные системы, трансляционные системы, автоматизированные системы сбора и обработки информации и ряд других систем. Полнота и достоверность информации источников этой группы делают их весьма привлекательными для злоумышленников. Продукция. Продукция — весьма специфический источник информации. Каждый этап жизненного цикла продукции (замысел, разработка, опытный образец, испытания и доводка, серийное производство, эксплуатация, модернизация, снятие с производства) сопровождается своей информацией, проявляющейся в виде разных физических эффектов, демаскирующие признаки которых могут раскрыть охраняемые сведения. 7. Промышленные и производственные отходы. Отходы могут быть очень ценным источником информации, тем более что они могут зачастую добываться легально, безопасно и легко. Вы брошенные копирки, черновики и т. д. могут рассказать много интересного специалисту, а химический анализ отбросов может открыть очень важный секрет. Даже такое поверхностное перечисление источников конфиденциальной информации, как только что приведенное, позволяет достаточно аккуратно рассмотреть различные способы несанкционированного доступа к конфиденциальной информации. Способ доступа к информации (а, как правило, используется комбинация различных способов) соотносится злоумышленником с его целью. Специалисты считают, что можно выделить три цели преступного посягательства на информацию: • получение необходимой информации для конкурентной борьбы; • внесение изменений в информационные потоки конкурента в соответствии со своими интересами; • нанесение ущерба конкуренту путем уничтожения информационных ценностей. Коротко рассмотрим некоторые способы несанкционированного доступа к конфиденциальной информации. Инициативное сотрудничество. Речь идет о том, что сотрудник организации сам по каким-то причинам каким-то образом идет на противоправные действия. По мнению специалистов, около 25% работников готовы в любое время и при любых обстоятельствах предать интересы организации, в которой работают, и около 50% готовы сделать это в зависимости от обстоятельств. Эти обстоятельства весьма разнообразны, иногда даже неожиданны: финансовые затруднения; политическое, религиозное, научное, моральное инакомыслие; недовольство зарплатой, статусом, должностью, обиды на начальство или власть; тщеславие, амбиции, зависть, непомерные запросы или семейные проблемы; вредные пристрастия и многое (к сожалению, очень многое) другое. Опасность инициативного сотрудничества трудно переоценить, так как такое сотрудничество особенно тяжело раскрывается, а проникает такой сотрудник обычно очень глубоко внутрь организации. Склонение к сотрудничеству. Это, как правило, насильственное действие со стороны злоумышленника по отношению к работнику данной организации, осуществляемое путем подкупа, запугивания, провокации, шантажа, устройства ловушек и т. д. Одной из разновидностей склонения к сотрудничеству иногда бывает переманивание специалистов конкурента к себе для овладения его знаниями. Незаконность, бесчестность, подлость и омерзительность средств и способов склонения к сотрудничеству не знает границ. Можно только пожелать читателю никогда не доходить до таких действий и уметь им противостоять. Выпытывание (выведывание, интервьюирование) — это стремление с помощью внешне наивных, невинных вопросов получить определенные сведения. Надо иметь в виду, что выпытывание — это не экзаменационная ситуация, когда преподаватель жестоко терзает несчастного беззащитного студента, стремясь выяснить (и продемонстрировать ему), что он еще не знает о тех временах, когда одна из прабабушек одной из его бабушек пешком ходила под стол. Речь идет о милом, ненавязчивом, но очень эффективном разговоре и скрытом (как косвенном, так и прямом) выуживании информации. Осуществляется выпытывание разным образом: официальные пресс-конференции и интервью, подставные любовницы (и любовники), беседы в ближайшем окружении интересующего человека, ложное трудоустройство и ложный прием на работу и т. д. Выпытывание — достаточно эффективный способ доступа к конфиденциальной информации, и есть большие умельцы его использования. Подслушивание — это способ ведения разведки и шпионажа, применяемый как агентами, так и специальными постами подслушивания. Подслушивание — весьма распространенный способ получения информации, способ многогранный, со многими приемами и средствами. К достоинствам этого способа добывания информации надо отнести то, что получаемая информация имеет определенную эмоциональную нагрузку (она иногда бывает не менее важной, чем прямое содержание) и поступает в реальном масштабе времени, без опозданий и задержек (если идет непосредственное подслушивание). Не вдаваясь в технические подробности, перечислим некоторые способы подслушивания: • подслушивание разговоров в помещении или на транспорте с помощью радиозакладок («жучков») или микрофонов; • подслушивание телефонных, телексных и телефаксных линий связи, радиотелефонов и радиостанций; • дистанционный съем информации с различных технологических средств за счет их побочных излучений и наводок; • лазерное облучение оконных стекол в интересующих помещениях; • направленное радиоизлучение, которое заставит «откликнуться и заговорить» деталь в телевизоре, радиоприемнике, телефоне или другой технике. Технические способы реализации подслушивания чрезвычайно разнообразны, оригинальны, сложны и достаточно дороги. Наблюдение — способ ведения разведки визуально или с помощью технических средств. Наблюдение — многогранный и многоплановый способ ведения разведки, даже простая классификация этого способа по разным признакам становится довольно объемным и трудоемким делом. Квалифицированное наблюдение требует привлечения хороших специалистов и технических средств. Зато результаты наблюдений, в случае успеха, могут быть весьма впечатляющими и доказательными. Хищение — умышленное противоправное овладение чужими ценностями (в частности, информацией) — это широко используемый злоумышленниками способ посягательства на чужое добро. Как считают специалисты, 10% людей никогда не воруют в силу своих моральных воззрений, 10% воруют при каждом удобном случае при любых обстоятельствах, 80% людей, как правило, честны, но могут поддаться соблазну украсть. Воруют, как правило, все, что плохо лежит, в том числе и информацию, и людей, и программные средства, воруют на любом социальном уровне. Надо иметь в виду, что не всегда хищение, особенно информации, обнаруживается быстро и не всегда похищенное можно восстановить, поэтому хищение — достаточно опасное нарушение прав законных владельцев. Копирование как способ получения конфиденциальной информации чрезвычайно распространено и популярно, так как оставляет законного владельца в неведении о случившемся. Существуют многочисленные эффективные технические способы и приемы копирования как документов, так и машинной памяти. Как и при хищении, копируют все то ценное или потенциально ценное, что плохо лежит. Подделка, модификация, фальсификация — это способы получения доступа к конфиденциальной информации путем предоставления ложных документов; изменений, которые ведут к преодолению запретов; искажению истинной картины в ущерб законным владельцам. Конечно, такие действия, как подделка, модификация, фальсификация, применяются не только по отношению к информации, но и по отношению к материальным продуктам. В том случае, когда дело касается информации, могут возникнуть особо сложные и тонкие ситуации, когда права первооткрывателей и законных владельцев защитить очень трудно. Уничтожение информации (а также продукции и людей), к сожалению, не редкость в наше время. Уничтожение может осуществляться с применением технических средств, оружия или программным путем. Для уничтожения информации иногда бывает достаточно поразить системы автоматизированной обработки данных, защиты информации, связи, охраны, противопожарной защиты и др., то есть что-то обеспечивающее или даже второстепенное. Незаконное подключение — это контактное или бесконтактное получение тех сообщений, которые передаются по различным линиям и проводам. Подключиться для перехвата каких-то сообщений можно практически к любым линиям связи, даже к сетям питания и заземления, даже к волоконно-оптическим линиям связи. Обнаружить подключение очень сложно, так что угрозу незаконного подключения надо считать серьезной. Перехват — это получение информации за счет электромагнитных волн пассивными средствами приема. Перехватываются не только сигналы радиосвязи, но и другие такие электромагнитные излучения, как: излучения радиолокационных и радионавигационных систем, телеуправления, сигналы, возникающие в электронной аппаратуре за счет самовозбуждения, акустического воздействия, паразитных колебаний, сигналы ПЭВМ, возникающие при выдаче на экран электронно-лучевой трубки текущей информации. Возможен перехват переговоров по радиотелефону и по беспроводным системам связи внутри учреждения. Возможная дальность установления контакта колеблется от десятков метров до тысяч километров (в зависимости от характера источника и используемых средств перехвата). Поскольку растет объем информации, передаваемый «радиоспособом», постольку растет и значение такого способа незаконного получения информации, как перехват. Негласное ознакомление — это любой способ получения информации, к которой субъект не допущен, преднамеренный или случайный, несанкционированный и оставшийся тайным в момент его использования. Одним из обстоятельств, способствующих негласному ознакомлению с конфиденциальной информацией, является низкая трудовая дисциплина и пренебрежение правилами режима секретности. Другим обстоятельством может иногда быть плохо продуманный режим секретности, когда, например, оказывается возможным одно и то же или что-то близкое получить и законно, и незаконно. Для негласного ознакомления сейчас широко используются многочисленные весьма совершенные технические средства, но не сняты с вооружения и возможности человека, которые у данного индивидуума оказались феноменальными (зрительная память, слух, умение читать речь по губам и т. д.). Фотографирование — это способ получения видимого изображения на разнообразных фотоматериалах. Особенность способа — документальность. Снимки могут иметь разное назначение, от компромата до раскрытия секретов технологического характера, бывает, что они дают очень ценные и детальные сведения об объекте наблюдений. Возможности современных фотокамер, объективов и материалов буквально ошеломляют (если на фотовыставке демонстрируется снимок, сделанный в момент внедрения сперматозоида в яйцеклетку, то понятно, что тайно снять событие, непосредственно предшествующее упомянутому, — не проблема). Конечно, фотографирование как способ добывания информации в наше время должно быть дополнено таким способом, как видеосъемка. Вся информация (как полученная из открытых источников, так и похищенная) подвергается соответствующей аналитической обработке силами квалифицированных специалистов. В результате их работы руководству или сторонним заказчикам предоставляются соответствующие информационно- аналитические документы. Перечисление способов несанкционированного доступа к конфиденциальной информации — это не какая-то классификация или систематизация, это просто первое знакомство с определенным кругом угроз бизнесу. Естественно, возникает вопрос: как противостоять этим угрозам? В силу сложности и объемности проблемы ответ на этот вопрос сейчас можно дать лишь на уровне первого знакомства. Защита информации (как и любая другая защита) начинается с создания необходимой правовой основы. В организации должны быть разработаны и введены в действие нормативные документы, которые регламентируют меры защиты в соответствии с действующим законодательством. Без создания правовых основ обеспечения безопасности любые последующие претензии предпринимателя к кому-либо могут оказаться просто беспочвенными. Нормативные правовые документы должны регламентировать: • порядок определения и фиксации степени секретности информации; • порядок работы с информацией данной степени секретности; • работу организационных структур, созданных для защиты бизнеса в целом и информации в частности; • работу структурных единиц организации в части защиты законных интересов организации; • взаимодействие с государственными органами в части защиты законных интересов организации; • меры ответственности за различные нарушения законных интересов организации и причиненный при этом ущерб и ряд других вопросов. Следующий элемент защиты — организационные мероприятия, направленные на чрезвычайное затруднение несанкционированного доступа к конфиденциальной информации. Эти мероприятия многообразны и многоплановы: • мероприятия, осуществляемые при проектировании, строительстве и оборудовании помещений и отдельных производственных зон; • мероприятия, обеспечивающие удобство контроля прохода и перемещения людей, проезда транспорта; • мероприятия, осуществляющиеся при подборе, найме и увольнении персонала; • мероприятия, связанные с сохранением сведений работниками (постоянными, временными, сторонними); • организация надежного пропускного режима и контроля посетителей; • организация надежной охраны помещений и территорий; • организация хранения, использования и защиты носителей конфиденциальной информации; • мероприятия по обеспечению безопасной (в смысле секретности) эксплуатации различных технических средств и целый ряд других мероприятий. Следующий элемент защиты называют инженерно-техническим. Инженерно- техническая защита должна создать возможность противодействовать тем техническим средствам незаконного получения информации, которыми располагают злоумышленники. Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности бизнеса. По функциональному назначению средства инженерно-технической защиты делятся следующим образом: • физические средства защиты, препятствующие проникновению злоумышленников на объекты и защищающие персонал, материальные ценности, финансы и информацию от противоправных действий; • аппаратные средства защиты, то есть приборы, устройства, приспособления и т. д., которые призваны препятствовать утечке информации; • программные средства защиты, то есть специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных; • криптографические средства защиты — это специальные математические и алгоритмические средства защиты информации, передаваемой по сетям связи или хранимой и обрабатываемой на ЭВМ, которые основаны на шифровании информации. Особо надо сказать о том, что в наше время, когда распространенность и значимость ЭВМ стали очень велики, требуется специальная комплексная защита средств вычислительной техники. Строится эта защита по тем же принципам, что и защита информации в системе целиком: организационные меры защиты, аппаратные, программные и криптографические средства защиты. В заключение надо сказать, что охота за информацией и защита информации — это вечная борьба копья и щита, которая издавна идет с переменным успехом и которую, к сожалению, еще долго придется вести. § 4.3. Мошенничество и его предотвращение Общее представление о мошенничестве П од мошенничеством понимают выманивание, похищение у кого-либо денег, ценностей, прав и т. д. с помощью обмана при некоторой осведомленности и доверительном отношении к происходящему того, кого обманывают. В основе мошенничества лежат обман и/или злоупотребление доверием. Жертвами мошенничества по отношению к частным лицам обычно становятся люди с определенной психологической структурой личности. Это прежде всего алчные люди, люди с обостренным чувством зависти, не уверенные в себе, или, наоборот люди, склонные словчить, получить выгоду, не считаясь с нормами морали, люди авантюристического склада, иногда люди, пережившие тяжелое эмоциональное потрясение. Становятся жертвами мошенничества и организации. Чаще всего урон наносится финансам, организации, но бывает, что потери носят материальный характер. Некоторые аспекты мошенничества против организации и меры по защите от него обсуждаются ниже. Специалисты выделяют несколько типов мошенничества. Первый тип — это мошенничество (растраты, хищения) со стороны наемного работника. Даже простое перечисление типичных видов такого мошенничества производит впечатление: • воровство наличности из кассы, воровство чеков, использование наличности не по назначению, фальсификация кассовых книг и сумм на банковских счетах, подделка чеков, оплата личных счетов чеками фирмы, фальсификация записей в бухгалтерских книгах; • представление фальсифицированных счетов-фактур, фальсификация транспортных накладных и т. д.; • кражи инвентаря, несанкционированные продажи имущества фирмы, использование имущества фирмы, мошенничество со счетами от медицинских учреждений, фальсификация отчетности о командировках; • сговор с клиентами или поставщиками, получение «благодарности» за определенные услуги, завышение цен, использование подставных поставщиков, переплата «сверху», выдача необеспеченных или фальшивых векселей, мошенничество с выплатой зарплаты, предоставление заказов за взятки; • мошенничество со страховкой, незадекларированные доходы, фальсификация налоговых деклараций; • компьютерные преступления и ряд других деяний. Второй тип мошенничества — это мошенничество со стороны руководителей. Обычно имеют место манипуляции с финансовой отчетностью. Часто обман совершается в интересах организации, а не только и не столько в интересах мошенника. Третий тип — аферы с инвестициями, когда инвесторам предлагается вложить деньги в проекты, которые оказываются липовыми, не имеющими никакой стоимости. Четвертый тип мошенничества — мошенничество поставщиков. Эти аферы бывают действиями самих поставщиков или совместными действиями поставщиков и заказчиков. Обычно завышается количество поставляемого товара. Либо Страницы: 1, 2, 3, 4, 5, 6, 7, 8 |
ИНТЕРЕСНОЕ | |||
|