Методы получения конфиденциальной информации

Методы получения конфиденциальной информации

Методы получения информации частного и коммерческого характера можно классифицировать по возможным каналам утечки:

  1. Акустический контроль помещения, автомобиля, непосредственно человека.
  2. Контроль и прослушивание телефонных каналов связи, перехват факсовой и модемной связи.
  3. Перехват компьютерной информации, в том числе радиоизлучений компьютера, несанкционированное внедрение в базы данных.
  4. Скрытая фото- и видеосъемка, специальная оптика.
  5. Визуальное наблюдение за объектом.
  6. Несанкционированное получение информации о личности путем подкупа или шантажа должностных лиц соответствующих служб.
  7. Путем подкупа или шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Наиболее информативными методами получения конфиденциальных сведений из вышеперечисленных являются акустический контроль и перехват переговоров в линиях связи, причем оба метода предусматривают использование специальных технических средств несанкционированного съема информации.

Акустический контроль

Для перехвата и регистрации акустической информации существует огромный штат средств разведки: микрофоны, электронные стетоскопы, акустические закладки, направленные и лазерные микрофоны, аппаратура магнитной записи. Набор средств акустической разведки, используемых для решения конкретной задачи, сильно зависит от возможности доступа агента в контролируемое помещение или к интересующим лицам.

В том случае, если имеется постоянный доступ к объекту контроля, могут быть использованы простейшие миниатюрные микрофоны, соединительные линии которых выводят в соседние помещения для регистрации и дальнейшего прослушивания акустической информации. Такие микрофоны диаметром 2.5 мм могут улавливать нормальный человеческий голос с расстояния до 20 м.

Если агенты не имеют постоянного доступа к объекту, но имеется возможность его кратковременного посещения под различными предлогами, то для акустической разведки используются миниатюрные диктофоны и магнитофоны закамуфлированные под предметы повседневного обихода: книгу письменные приборы, пачку сигарет. Кроме этого, диктофон может находиться у одного из лиц, присутствующих на закрытом совещании. В этом случае часто используют выносной микрофон, спрятанный под одеждой или закамуфлированный под часы, авторучку, пуговицу.

Современные диктофоны обеспечивают непрерывную запись речевой информации от 30 минут до 7-8 часов, они оснащены системами акустопуска (VOX, VAS), автореверса, индикации даты и времени записи, дистанционного управления. Примером такого диктофона может выступать модель OLYMPUS L-400, который оборудован всеми вышеперечисленными системами. В качестве носителя информации кроме магнитной ленты используются цифровые микрочипы и минидиски.

В случае если агентам не удается проникнуть на объект даже на короткое время, но есть доступ в соседние помещения, то для ведения разведки используются электронные стетоскопы, чувствительным элементом которых является пьезоэлемент. Электронные стетоскопы усиливают акустический сигнал, распространяющийся сквозь стены, пол, потолок в 20-30 тысяч раз и способны улавливать шорохи и тиканье часов через бетонные стены толщиной до 1 м.

Наряду с диктофонами для перехвата акустической информации используются акустические закладки, несанкционированно и скрытно устанавливаемые в помещениях, автомашинах. В качестве канала передачи перехваченной информации используются радио и оптический каналы, силовые, слаботочные и обесточенные коммуникации.

Наибольшее распространение получили радиозакладки, которые можно классифицировать по нескольким критериям:

  1. По используемому диапазону частот.
  2. По мощности излучения: маломощные — до 10 мВт, средней мощности — от 10 мВт до 100мВт, большой мощности — свыше 100 мВт.
  3. По виду используемых сигналов: простой сигнал (с AM, FM и WFM), сложный сигнал (ППРЧ, шумоподобные сигналы).
  4. По способу модуляции: с модуляцией несущей, с модуляцией промежуточной частоты.
  5. По способу стабилизации частоты: нестабилизированные, со схемотехнической стабилизацией (мягкий канал), с кварцевой стабилизацией (кварцованные).
  6. По исполнению: в виде отдельного модуля, закамуфлированные под различные предметы (авторучка, калькулятор, электротройник, деревянный брусок).

Срок службы радиозакладки сильно зависит от типа питания. При использовании аккумуляторных батарей время непрерывной работы — от нескольких часов (авторучка — 2 часа) до нескольких суток (калькулятор — 15 суток). Если используется внешнее питание от телефонной линии, электросети, цепей питания бытовой аппаратуры, то срок службы радиозакладок практически не ограничен. Радиозакладки обеспечивают дальность передачи от десятков метров (авторучка — 50 метров) до 1 километра. При использовании ретрансляторов дальность передачи перехваченной информации увеличивается до десятков километров. С целью повышения скрытности работы радиозакладки оборудуются системами аку стопуска, дистанционного управления, пакетной передачи, используются шумоподобные, скремблированные, шифрованные сигналы.

Прием информации от радиозакладок обычно осуществляется на широкополосный приемник — «радиосканер», например AR-8000 фирмы AOR, Ltd или IC-R10 фирмы

Сетевые закладки, использующие в качестве канала передачи информации электросеть, устанавливаются в электророзетки, удлинители, пилоты, бытовую аппаратуру или непосредственно в силовую сеть. Их недостатком является малая дальность передачи (в пределах одного здания до трансформаторной подстанции). Преимущество сетевой закладки — сложность обнаружения. Приемная часть выполнена в виде спецприемника.

Для перехвата акустической информации с передачей по телефонной линии используется «телефонное ухо». После дозвона на абонентский номер по определенной схеме агенту предоставляется возможность прослушивать помещение даже из другого города.

Контроль и прослушивание телефонных переговоров>

Прослушивание телефонных каналов связи объекта в настоящее время является одним из основных способов получения конфиденциальной информации. Съем информации с телефонной линии связи может осуществляться либо непосредственным подключением к линии (в разрыв или параллельно), либо бесконтактно при помощи индуктивного датчика. Факт контактного подключения к линии легко обнаружить, использование же индуктивного подключения не нарушает целостности кабеля и не вносит изменения в параметры телефонной линии.

Сигналы с телефонной линии могут записываться на магнитофон (используется специальный адаптер) или передаваться по радиоканалу.

Выполняются телефонные закладки в виде отдельных модулей (брусок) или камуфлируются под элементы телефонного оборудования: адаптеры, розетки, телефонные и микрофонные капсюли, конденсаторы. Телефонные закладки устанавливаются непосредственно в телефонный аппарат, телефонную трубку, розетку, а также непосредственно на телефонную линию. Передача информации от телефонной закладки начинается в момент поднятия трубки абонентом.

Наряду с телефонными и радиозакладками используются комбинированные закладки, которые при ведении телефонных переговоров осуществляют их перехват, а по окончании — автоматически переключаются на перехват акустической информации.

Конфиденциальные сведения и ноу-хау: вводим режим коммерческой тайны в организации

Александр Язовский (справа) , управляющий партнер юридической фирмы Patent.Lab,
Карен Мусаелян, старший партнер юридической фирмы Patent.Lab

Что такое ноу-хау?

Конфиденциальная и иная ценная информация компании в России защищается как специальный объект интеллектуальной собственности – секрет производства (ноу-хау). Пункт 1 ст. 1465 Гражданского кодекса признает секретом производства (ноу-хау) любые сведения (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности. Но для этого ноу-хау должно отвечать следующим требованиям:

  • информация имеет действительную или потенциальную коммерческую ценность вследствие неизвестности их третьим лицам;
  • у третьих лиц нет свободного доступа к такой информации;
  • предприняты разумные меры для соблюдения секретности таких сведений.

Что дает бизнесу ноу-хау?

Надеемся, что секреты вашей компании уже приносят вам доходы, иначе бы вы не заинтересовались их защитой и не начали читать этот материал. Здесь мы сосредоточимся на дополнительных выгодах, которые дает правовая защита ноу-хау.

Во-первых, снижение рисков от человеческого фактора. Если в компании никак не защищаются секреты производства, то любой работник или третье лицо, получивший доступ к вашим секретам может безнаказанно разгласить их компаниям-конкурентам, либо распространить их в отношении широкого круга лиц, и привлечь его к ответственности за такое разглашение будет невозможно. Максимум, что можете сделать вы как работодатель в данных ситуациях – лишить работника поощрительных выплат и предпринять попытку уволить его, тем самым защитив свою будущую интеллектуальную собственность. Но такие способы защиты уже не восстановят коммерческую ценность разглашенных секретов, и не позволят вам взыскать компенсацию с работникам в денежном (или ином) эквиваленте. Напротив, введение ноу-хау позволит привлекать таких недобросовестных работников и других лиц к ответственности, в том числе взыскивать с них компенсации. Риск вместе с работой и деловой репутацией потерять несколько миллионов рублей останавливает готового к проступку работника, а знание, что защищенный секрет будет сложно реализовать без последствий для покупателя, вовсе отваживает от недобросовестных поступков.

Во-вторых, имущественный актив. Ноу-хау является нематериальным активом компании, который имеет стоимость и вносится на бухгалтерский баланс как нематериальный актив и ценен уже в силу его наличия. Например, у вас есть уникальная технология или даже просто клиентская база. Оформив их надлежащим образом в качестве объектов ноу-хау, вы повышаете стоимость своей компании в соответствии со стоимостью этих объектов. Сколько стоит ноу-хау? Это зависит от его коммерческой применимости и конкурентных преимуществ, которые предоставляет ноу-хау. Оценка может производиться гибко, с учетом специфики конкретного объекта правовой охраны.

В-третьих, оптимизация налогообложения. Как имущественный нематериальный актив, поставленный на бухгалтерский баланс, ноу-хау позволяет оптимизировать налоги посредством, например, амортизации (приказ Минфина России от 27 декабря 2007 г. № 153н «Об утверждении Положения по бухгалтерскому учету «Учет нематериальных активов» (ПБУ 14/2007).

В-четвертых, легальный дополнительный источник доходов. Ноу-хау можно совершено легально передать иному лицу по договору отчуждения или предоставить его использование по лицензии (франшизе), тогда как незащищенные секреты реализовать указанными выше способами можно только вне правового поля с соответствующими рисками.

В-пятых, широта охвата предметов защиты. Помимо ноу-хау, интеллектуальная собственность бывает разная: товарные знаки, патенты, селекционные достижения, объекты авторского права. Однако их недостаток не только в том, что нужно разглашать их коммерческую сущность при регистрации в уполномоченных органах или организациях, но и в том, что круг сведений, охраняющихся в качестве ноу-хау, значительно шире, чем круг сведений, которые могут охраняться другими объектами интеллектуальной собственности. Если у вас есть информация, и вы не обязаны ее разгласить по закону, то вы можете обеспечить ее защиту как ноу-хау в тех пределах, представляющихся вам достаточными и необходимыми. Так можно защитить незапатентованное изобретение, клиентскую базу, технологии работы, рецепты, формулы, маркетинговые стратегии на интересующих рынках и другие виды информации.

Читайте также  Светодиод как индикатор сетевого напряжения?

Наконец, озвученные выгоды внедряются быстро, не требуют больших вложений и действуют бессрочно. Срок правовой охраны ноу-хау не ограничен. По сути, его правовая охрана длится до тех пор, пока составляющие его сведения не перестали быть конфиденциальными. Не существует государственной регистрации ноу-хау, поэтому введение режима коммерческой тайны, необходимый для защиты ноу-хау, можно осуществить даже за один день, в отличие, например, от изобретения и полезной модели, которые патентуются не один год и разглашают при регистрации. Введение режима коммерческой тайны в организации – это пакет документов и комплекс технических мер, не требующие больших материальных затрат.

Как защитить ноу-хау режимом коммерческой тайны?

Первое – ввести режим коммерческой тайны в организации:

  • подробно и детализировано определить перечень сведений, которые будут составлять коммерческую тайну. При этом следует максимально четко определить, какие сведения являются секретными и не подлежат разглашению. Например, не просто «клиентская база», а «сведения о клиентах компании, бывших, действующих и потенциальных, включая ФИО учредителей, руководителей, наименование компании, контактные телефоны, адреса электронной почты, интересы, поступившие запросы и заявки, приобретенные продукты, цена и другие условия заключенных сделок, сведения о контролирующих лицах и лицах, принимающих решения, ФИО и контакты сопровождающего клиента менеджере, содержащуюся на материальных носителях – жестких дисках, облачных сервисах в форме электронных документов и/или в бумажных документах, содержащих гриф «Коммерческая тайна»;
  • ограничить любой доступ к секретным сведениям, а именно указать: ФИО сотрудника, каким образом, и в каком порядке и объеме обращается с засекреченной информацией, и определить лицо, ответственное за контроль над установленным режимом предоставления доступа к ней;
  • составить подробный список лиц (с максимально точным уточнением персональных данных), которые получили или получают фактический доступ к информации;
  • разработать документы о порядке использования информации работниками – трудовые договоры с подробным описанием прав и обязанностей работников при взаимодействии ими с конфиденциальной информацией, положение о конфиденциальной информации в организации и должностные инструкции, где устанавливается, что работник получает доступ к коммерческой тайне в связи с исполнением своих трудовых обязанностей. С указанными документами работник должен быть ознакомлен под подпись;
  • нанести гриф «Коммерческая тайна» на все материальные носители, содержащие конфиденциальную информацию. Обязательно нужно указать владельца информации: для юридических лиц – полное наименование и местонахождение; для предпринимателей – ФИО и местожительство.

Второе – поддерживать режим коммерческой тайны на уровне документооборота:

  • обеспечить регулярную актуализацию перечня объектов защиты, например, баз данных и содержимого охраняемых документов;
  • в локальных нормативных актах и на материальных носителях следует указывать дату введения режима коммерческий тайны в отношении информации содержащихся на них, срок действия коммерческой тайны, дату последней актуализации сведений;
  • при существенном изменении состава или содержания конфиденциальных сведений следует обеспечивать надлежащее уведомление об этом работников под подпись.

Третье – фиксировать факты:

  • доступа к секретным сведениям, в том числе дату, время, место доступа, устройство, с которого осуществлялся доступ, документы или электронные файлы, к которым получен доступ, сведения о лице, которое получило доступ, сведения о лице, которое зафиксировало доступ и может подтвердить данный факт своим показаниями;
  • получения лицом уведомления о секретности сведений, оформленный надлежащим образом;
  • разглашения секретных сведений;
  • причинения убытков, в том числе размер убытков, причинно-следственную связь с действиями лица, разгласившего информацию, наличие вины.

Четвертое – контролировать соблюдение конфиденциальности информации:

при помощи технических мер – расширенный список мер, которые максимизируют эффективность:

  • средства физической защиты материальных носителей секретной информации от несанкционированного доступа (защищенные хранилища, сейфы, кодовые замки);
  • разработка системы видеонаблюдения;
  • контрольно-пропускной режим и система контроля доступа в помещения с фиксацией каждого получившего доступ лица;средства авторизации, сертификации, получения прав на доступ к информации; средства шифрования и криптографии; средства защиты от компьютерных вирусов, межсетевые экраны, разграничение доступа к информации; средства мониторинга сетей и протоколирования всех фактов и процедур обращения с конфиденциальной информацией;

организационные меры: введение функций контроля в должностные обязанности руководителей, контролеров, ревизоров, аудиторов, системных администраторов, работников служб безопасности.

Судебная практика показывает, что ненадлежащее введение режима коммерческой тайны (постановление Суда по интеллектуальным правам от 16 ноября 2017 г. по делу № А33-28905/2016) или неприемлемая фиксация юридически значимых фактов (апелляционное определение Московского городского суда от 18 сентября 2013 г. № 11-28840, определение Московского городского суда от 16 декабря 2014 г. № 33-40501/2014) является основанием для отказа в привлечении работника, разгласившего секретные сведения, к какой-либо ответственности. Будьте внимательны к соблюдению всех четырех пунктов, перечисленных выше.

Любой бизнес нуждается в комплексной защите, особенно в защите коммерчески важной и конфиденциальной информации от разглашения ее сотрудниками компании. В обратном случае компания может потерять всю ценную и конкурентно важную информацию, если ее сотрудник решит эту информацию украсть или использовать в новой компании, куда будет трудоустраиваться в будущем. Для того чтобы защитить секретную информацию необходимо оформить потенциально прибыльные сведения в виде такого результата интеллектуальной деятельности, как ноу-хау и ввести в отношении него режим коммерческой тайны. Введение режима коммерческой тайны в организации обусловлено практической целью – созданием нематериального имущественного объекта, который будет являться активом компании, а также защита от разглашения данных сведений, которая влечет за собой крупные конкурентные, а следовательно и финансовые потери.

О том, какие практические действия предпринять, если работник все же нарушил режим коммерческой тайны, поговорим в следующей колонке.

lib.kreatiffchik.ru

Каталог научных материалов

Особенности методов получения информации у персонала

Тема получения информации у персонала очень актуальна в наше время. Время процветания рыночной экономики и информационных технологий. Требуется организовать комплексную защиту информации на предприятии. Очень важным моментом является подбор и расстановка кадров (персонала). Для должного обеспечения защиты деятельности работников, должна быть проведена специальная подготовка персонала по работе с конфиденциальной информацией и её защите. Чтобы знать, что защищать мы должны определить возможные угрозы, каналы утечки информации, кому и с какой целью нужны защищаемые сведения. Отсюда становятся известными методы получения (добывания) информации у персонала, как основного источника конфиденциальной информации на предприятии.

Информацию принято считать ценной лишь тогда, когда ее можно использовать, причем полезность информации сильно зависит от ее полноты, точности и своевременности. Следует конкретно различать и не путать: факты (данные), мнения (личностные предположения), информацию (аналитически обработанные данные).

Осознав, что вам необходима информация, проясните для себя следующие вопросы:

  1. Что надо узнать?
  2. Где (и в каком виде) может быть желаемая информация?
  3. Кто ее может знать или достать?
  4. Как (и в каком виде) ее можно получить?

Четкие ответы на начальные вопросы обеспечивают понимание последнего, техника решения которого зависит как от существующих внешних условий, так и от ваших знаний, воли, опыта, возможностей и изобретательности.

Главными носителями перспективных материалов всегда являются:

– средства беспроводной и проводной связи (телефоны, телефаксы, радиостанции и т.д.);

– электронные системы обработки информации (компьютеры, электрические пишущие машинки и т.д.);

– разные отслеживаемые факторы (поведение, разговоры, результаты

Выйдя на тот или иной источник информации, требуется четко просчитать:

– его наличные и потенциальные возможности;

– допустимые пределы использования;

– степень его надежности.

Человек является одним из основных источников информации. В качестве используемого объекта может выступать любое перспективное лицо – член враждующей группировки, единичный игрок, контактер, союзник и др., – обладающее любопытной информацией. Знающими лицами, в частности, считаются те, кто бесспорно обладает (или может обладать) нужной информацией

Так как всякий индивид в демонстрируемом поведении направляется определенными побуждениями, понимание таковых дает возможность подобрать к нему ключи и в итоге получить необходимые данные. О мотивах некоего человека узнают путем его изучения, причем следует учитывать и степень выраженности (очень сильно, довольно сильно, слабо) этих побуждений.

Воздействовать на ум и поведение человека можно различными путями, одни из которых требуют лишь специфичной подготовленности специалиста (убеждение, внушение, подкуп и т.д.), а другие – еще и специальной аппаратуры (технотронные приемы, секс-мероприятия, зомбирование…).

Методы прицельного влияния могут быть щадящими (внушение и т.д.) и агрессивными (шантаж), простенькими (запугивание…) и изощренными (зомбирование и т.д.), трудно уловимыми (нейролингвистическое программирование и т.д.) и дополняющими (фармакоуправление и т.д.).

Выбор применяемой методики зависит от:

– реальной уязвимости объекта (черт его характера, эпизодов биографии, наличной ситуации и т.д.);

– цели намечаемого воздействия (изменение мышления, привлечение к сотрудничеству, получение информации, одноразовое содействие, воспитывающее наказание и т.д.);

– собственных возможностей (обладание временем, умением, знанием, те- хаппаратурой, должными химпрепаратами, компетентными помощниками и т.д.);

– персональных установок исполнителя (его уровня моральной допустимости…).

Особенность методов добывания информации заключается в правильном анализе информационного объекта. Чтобы управлять личностью, нужно определить каким именно способом нужно и можно на неё воздействовать. Существуют различные способы воздействия:

Естественно, чтобы воздействовать на человека, нужно также изучить его личностные психологические качества, чтобы провести результативное общение (получить нужные сведения). Следует обращать внимание на:

  • мимику лица;
  • взгляд и глаза;
  • позу и ее детали;
  • жесты и телодвижения;
  • интонацию голоса;
  • особенности лексики;
  • непроизвольные реакции;
  • фоновое настроение;
  • микроколебания настроения.

Разобравшись в психологии зондируемого объекта и отметив управляющие им мотивы, можно выйти на конкретные приемы и методики, способные «расколоть» определенного человека. Никогда не торопитесь получить от объекта максимальный объем информации в минимальный срок (конечно, все зависит от ситуации и самого объекта). Это может «спугнуть», в итоге вы потеряете возможный источник информации. Тщательно подходите к изучению личности, физического и эмоционального состояния личности.

Читайте также  Электронные трансформаторы. схемы, фото, обзоры

Способы несанкционированного доступа к конфиденциальной информации

Аудит и классификация данных
на базе системы

П од способами несанкционированного доступа к конфиденциальной информации принято понимать различные методы, с помощью которых злоумышленник может получить ценные данные организации, являющиеся конфиденциальными.

Для удобства представим все распространенные способы в виде следующего перечня:

  1. Использование инициативы со стороны инсайдеров.
  2. Привлечение к сотрудничеству.
  3. Выведывание данных.
  4. Подслушивание.
  5. Тайное чтение документов.
  6. Кража данных.
  7. Несанкционированное копирование.
  8. Подделка.
  9. Подключение.
  10. Перехват.
  11. Фотографирование.
  12. Частичное ознакомление.
  13. Легальные методы.

Также отдельно можно выделить уничтожение информации, как серьезную угрозу деятельности организации. Рассмотрим каждый из перечисленных способов подробнее.

Использование инициативы

Злоумышленнику нетрудно воспользоваться инициативой сотрудника, недовольного сложившейся в организации ситуацией. Практика показывает, некоторые сотрудники либо остро нуждаются в денежных средствах, либо готовы предоставить конфиденциальную информацию ради удовлетворения алчности. Важно понимать, что использование инициативы злоумышленником основывается не только на финансовой мотивации. Нередки случаи предоставления секретных сведений ради мести руководству из-за обид.

Для получения ценной информации конкуренты могут использовать не только высокопоставленных лиц или значимых специалистов, но и рядовых сотрудников.

Вербовка сотрудников

Вербовка и подкуп сотрудников – часто длительный процесс. Агенты конкурирующих фирм могут месяцами собирать информацию о работнике, членах его семьи. Это позволяет найти наиболее эффективный способ сотрудничества и сделать из такого сотрудника собственного агента, работающего в интересах конкурирующей фирмы. Нередко для склонения инсайдера к сотрудничеству собирают компрометирующие сведения, используют угрозы, психологическое воздействие, грубые и агрессивные методы запугивания.

Также нередки случаи использования мягких способов получения засекреченных данных. Злоумышленники, стремясь подступиться к специалисту, могут работать не напрямую, и передавать денежные средства через сторонних лиц и даже известных личностей, занимающихся общественной деятельностью.

Выведывание информации

Способы выведывания информации часто носят изощренный характер. Распространена практика переманивания специалистов путем создания ложных вакантных мест. Вакансия публикуется для заманивания специалиста в ловушку. Характерной особенностью такого приема является обещание больших премий, льгот, высокого уровня дохода. Уже на испытательном сроке новичку предлагают заработную плату, вдвое превышающую его оклад в компании конкурента. В ходе собеседования новичка принимают с распростертыми объятиями и обещают хорошо вознаграждать за старания.

Многие специалисты с готовностью заглатывают крючок и охотно демонстрируют «ноу-хау», делятся знаниями и опытом, полученными в своей фирме. По окончании испытательного срока сотруднику дают отказ, получив от него всю необходимую информацию.

Другой способ выведывания информации – попытка трудоустройства. Фирма конкурента отправляет своего агента с целью выведывания информации, которую тот получает в ходе собеседования. Таким образом, можно узнать о текущих проблемах компании, определить «болевые точки», узнать об используемых стратегиях и т.д.

Самый эффективный метод выведывания информации – общение с родственниками, друзьями, знакомыми инсайдеров. В связи с этим каждый сотрудник, имеющий доступ к важной информации, должен сформировать правильную политику общения с окружением и культуру поведения в повседневной жизни.

Подслушивание

Подслушивание относится к наиболее популярным способам добычи ценной информации. Подслушивание осуществляется следующими методами:

  • путем использования радиозакладок и миниатюрных диктофонов;
  • путем использования программного обеспечения для получения значимых сведений в ходе телефонных переговоров, передачи радиосигналов;
  • путем использования различной техники, улавливающей (перехватывающей) аудиосигнал.

Практикуется также подслушивание при тайном присутствии. Для предупреждения утечки информации применяются устройства, заглушающие передачу сигнала за счет создания радиопомех. Однако такие устройства не помогут предотвратить запись разговора на миниатюрный диктофон, который незаметно устанавливается в непосредственной близости. Приборы, с помощью которых выполняется подслушивание, представляют собой хитроумные приспособления. Чаще всего злоумышленники предпочитают проводить подслушивание в общественных местах. Например, кафетериях. Подслушивающее или записывающее разговор устройство может быть легко закреплено на теле и оставаться незаметным.

Наблюдение

Наблюдение за объектом позволяет получить много ценных сведений. Как и в случае подслушивания, данный способ предполагает применение различных технических приспособлений. Самым распространенным устройством наблюдения и слежения остается фотоаппарат.

Наблюдение может вести как один, так и несколько человек. При групповом наблюдении один, реже два наблюдателя всегда находятся в непосредственной близости и информируют остальную группу о текущей ситуации. Данный способ используют для выяснения особенностей поведения сотрудника, маршрутов его передвижения, другой важной информации. Таким способом устанавливают факт подготовки организации к различного рода мероприятиям.

Вести слежку можно как днем, так и ночью. Современные системы позволяют следить за объектами при низком уровне освещения. Слежение можно выполнять на больших расстояниях. Даже в условиях практически полной темноты на расстоянии примерно одного километра наблюдатель легко сможет определить нужный объект и опознать человека.

Отслеживание местоположения объекта является важной частью слежки. Обычно для упрощения наблюдения на объект устанавливают радиомаяки. Если слежка ведется за человеком, приборы закрепляют на его автомобиле.

Устройства слежения отличаются компактными размерами и зачастую остаются незаметными. Их можно вмонтировать в фары автомобиля, замаскировать на деревьях, на земле. Некоторые приборы замаскированы под предметы гардероба (ремни, шляпы).

Хищение информации

Наилучшим способом предотвращения кражи данных компании остается установление постоянный контроль за сотрудниками. Примерно 80% людей не станут красть важные документы, поскольку это противоречит их морали. Искореняя соблазн выкрасть ценные сведения, можно обезопасить организацию от хищения конфиденциальной информации.

Контролировать местонахождение конфиденциальных документов в файловой системе предприятия поможет «СёрчИнформ FileAuditor».

Копирование данных

Копирование информации выполняется различными способами, в том числе с помощью технических средств. Защита от копирования электронной информации разработана давно, однако сделать ксерокопию ценных документов способен каждый сотрудник организации. Поэтому необходимо устанавливать контроль за пользованием копировальных аппаратов.

Подделка и модификация информации

Подделать информацию злоумышленники могут с целью получения секретных данных. Подделке часто подвергаются письма, счета, бухгалтерская документация.

Подделке и модифицированию информации предшествует промышленный шпионаж, широко представленный во многих странах мира. Один из видов подделывания данных представляет собой прямую фальсификацию, когда подделываются смс-сообщения с целью получения конфиденциальных сведений. Но наибольшее распространение в этом отношении получили компьютерные вирусы, способные модифицировать программное обеспечение для хищения документов и информации.

Уничтожение и удаление данных (документов)

На сегодня известно немало случаев применения диверсионных методов, когда ценная информация уничтожается (удаляется) любыми доступными способами. Уничтожение нередко приобретает криминальный и даже террористический характер. Для удаления ценных сведений могут использоваться специальные программы-вирусы, называемые «логическими бомбами». Так, в педагогическом центре Израиля (г. Хайфа) такой вирус уничтожил разрабатываемое программное обеспечение, на работу с которым суммарно было затрачено более 7 000 часов.

Подключение

Подключение выполняется контактными и бесконтактными методами. Злоумышленники могут подключиться с целью получения информации к линии периферийных устройств больших и малых ЭВМ, линиям радиовещания, линиям залов совещаний, диспетчерских, линиям передачи данных. Возможно даже подключение к линиям питания и заземлению, оптоволоконным сетям.

Бесконтактное подключение можно провести на огромном расстоянии от объекта. Для этой цели могут быть использованы, например, кольцевые трансформаторы.

Перехват информации

Для перехвата информации могут использоваться следующие типы устройств:

  • панорамные анализаторы;
  • антенные усилители широкополосного типа;
  • оконечная аппаратура;
  • антенные системы.

Ресиверы могут перехватывать информацию, распространяемую с помощью электромагнитных волн (сверхдлинные и короткие). Диапазон охвата необычайно широк. Современные средства перехвата позволяют устанавливать радиоконтакт на расстоянии нескольких десятков тысяч километров. Опасность перехвата заключается в том, что даже без полной расшифровки полученной информации, злоумышленники могут сделать важные выводы о деятельности организации.

Частичное ознакомление с информацией

Получить доступ к информации конфиденциального характера зачастую оказывается невозможно. Однако даже частичное ознакомление с ней может удовлетворить интересы злоумышленника. Случайный или намеренно раскрытый документ, попавший на глаза посетителю, оставленный включенным монитор с отображением важных сведений – перечень ситуаций велик. Воспользоваться таким методом получения информации легко при частых нарушениях производственной дисциплины в организации.

Для частичного ознакомления могут использоваться и тонкие оптоволоконные кабели с микрокамерами. Такой кабель можно легко пропустить через замочную скважину.

Особенно опасны лица, обладающие развитой зрительной (фотографической) памятью. Известны случаи, когда агентам конкурирующих фирм для запоминания важных данных было достаточно только одного взгляда на документы. Неоднократно такого рода краже подвергались лекала известных дизайнеров и модельеров, рабочий процесс которых видели якобы случайные посетители. Важно понимать, что злоумышленники с хорошей зрительной памятью проходят специальные курсы для быстрого выстраивания логической цепочки и построения выводов, что позволяет им не только запомнить ценные сведения, но и мгновенно раскрыть используемые стратегии, планы.

Фотографирование информации

Получение информации путем фотографирования позволяет злоумышленникам оставаться незаметными. В настоящее время существуют объективы и фотоаппаратура, способные делать снимки на расстоянии нескольких сотен метров и в результате получать хорошо читаемое изображение. Фотографирование в инфракрасном диапазоне дает возможность получить данные с документами, в которые были внесены исправления и даже восстановить информацию при чтении обгоревших документов. Фотокамера может быть вмонтирована в часы, замаскирована под кошелек, зажигалку, портсигар, а новейшие устройства выполняются в виде пластиковых карт.

Легальные методы получения конфиденциальной информации

Большинство компаний предпочитают сбор информации легальными методами. Для этого сотрудники могут посещать различные официальные мероприятия. Далее путем мозгового штурма и совместной работы делать широкомасштабные выводы, позволяющие раскрыть важные планы и стратегии конкурентов. Сбор данных производится через торговых партнеров конкурирующей фирмы, клиентов, поставщиков, подрядчиков, членов профсоюзов, практикантов. Тесные связи с информационными изданиями и журналистами также помогают добыть ценные сведения.

Конфиденциальная информация: как защитить корпоративные данные

С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

Читайте также  Простое переговорное устройство

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Документы материальные и представленные в электронном виде.

Технические средства носителей информации и их обработки.

Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.

Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Запросы из государственных органов.

Проведение переговоров с потенциальными контрагентами.

Посещения территории предприятия.

Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Доступ к компьютерной сети.

Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

Оптимизировать защищаемые информационные потоки.

Определить формы представляемой информации.

Установить виды угроз защищаемой информации и варианты их реализации.

Установить, кому может быть интересна защищаемая информация.

Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

Удаленный доступ к информации.

Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

Настройка программного оборудования (особенно после обновления).

Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

Разграничение доступа к информации.

Дробление информации на части.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
  • Владельцам бизнеса;
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

Как защитить конфиденциальную информацию на предприятии

Автор Сергей в 27 июня 2021 . Опубликовано Готовые фирмы с лицензией ФСБ

Конфиденциальная информация может быть разной в разных организациях. Первыми на ум приходят организации, работающие с гостайной, но на практике «секретить» приходится и несекретную информацию: персональные данные работников и клиентов, важные для ведения бизнеса сведения, разработки и проекты, на которые еще не получен патент и прочие данные, которые имеют ценность в силу своей неизвестности широкому кругу лиц.

Обеспечение защиты конфиденциальной информации — это не просто право, но в ряде случаев и обязанность ее держателя. Так, фирмы с лицензией ФСБ на работу с гостайной обязаны пройти проверку ФСБ и использовать особые правила секретного документооборота в ходе работы. Все без исключения организации обязаны хранить в тайне персональные данные (работников, контрагентов, клиентов). При необходимости фирма может ввести правила о неразглашении коммерческой тайны.

Способы защиты сведений ограниченного доступа

Прежде чем организовывать систему защиты информации на предприятии, нужно определить базовые правила защиты информации в компании, а затем планомерно разработать локальные правовые основания и внедрить их. План действий может быть примерно такой:

Определение категорий информации, подлежащей защите

В большинстве случаев под особый режим обращения попадут персональные данные и секретная документация, сведения разработки (результаты исследований, изобретения, промышленные образцы и прототипы), базы данных (база клиентов, база контактов потенциальных клиентов, внутренняя отчетность и т.д.), иногда — маркетинговые стратегии.

Регламентирование защиты конфиденциальной информации в организации

Проще говоря, это разработка, принятие и внедрение локальных нормативных актов, инструкций, договоров и доп. соглашений, положений и порядков, определяющих правила и требования для работы сотрудников с информацией ограниченного доступа. Список-минимум документов выглядит так:

  • Положение о защите персональных данных;
  • Политика защиты и обработки персональных данных;
  • Соглашение о неразглашении конфиденциальной информации;
  • Положение о коммерческой тайне и конфиденциальной информации;
  • Журнал ознакомления с Положением о коммерческой тайне и конфиденциальной информации;
  • Конкретные Инструкции по работе с конфиденциальной информацией, в т.ч. в локальной информационной системе и в интернете.

Разграничение категорий сотрудников и уровней их доступа к конфиденциальной информации

Перечень доступных сведений для каждого сотрудника будет зависеть от характера его трудовой функции. Работников нужно под роспись ознакомить с документами из п. 2. Например, специалисты кадровой службы ознакомятся с положением о ПД и Политикой защиты ПД и конфиденциальной информации, т.к. по роду работы им приходится иметь дело с персональными данными. А для работников, имеющих доступ к разработкам, предусмотрено ознакомление с Положением о коммерческой тайне.

Организация и техническое обеспечение защиты конфиденциальной информации

Организационные мероприятия предполагают:

  • постоянные инструктажи персонала о правилах работы с секретными данными;
  • установление персональной ответственности за разглашение информации ограниченного доступа;
  • фиксирование самого доступа лиц к защищаемым сведениям;
  • разработка нормативной базы, создание отдела безопасности;
  • организация пропускного режима и видеонаблюдения в организации;
  • повышение компьютерной грамотности сотрудников и т.д.

Техническая защита конфиденциальной информации предполагает:

  • установка антивирусного ПО, межсетевых экранов и других программ для противодействия несанкционированного доступа к ПК;
  • установка софта, регистрирующего действия пользователей в локальной информационной системе;
  • установка софта, делающего копирование, рассылку, скачивание конфиденциальной информации невозможными;
  • обязательная аутентификация и идентификация пользователя перед входом в систему и доступом к данным ограниченного доступа;
  • установка систем оповещения и сигнализации, камер видеонаблюдения;
  • создание условий для безопасного хранения физических носителей конфиденциальной информации (сейфы и запираемые металлические шкафы, отдельные охраняемые помещения для работы с информацией и т.д.);
  • подключение защищенных каналов для пересылки файлов, содержащих конфиденциальную информацию.

Самые строгие меры принимаются, если организация работает со сведениями, содержащими гостайну. В этом случае придется получить лицензию ФСБ и работать с секретными документами либо через собственное режимно-секретное подразделение, либо через сторонний 1 отдел по договору о режимно-секретном обслуживании. В этом случае никакой самодеятельности — требования к защите информации четко прописаны ФСБ и ФСТЭК, а их соблюдение проверяется при выдаче лицензии и в ходе контрольных проверок ФСБ.

Нужно подготовиться к лицензированию деятельности по работе с государственной тайной? Мы поможем правильно выполнить все требования ФСБ и получить лицензию с первого раза. Звоните!