Под утечкой информации понимается несанкционированный перенос информации от ее источника к злоумышленнику. Понятие «утечка» широко распространено. Говорят об утечке воды, газа, материальных ценностей со склада, информации и т. д. Утечка информации возможна путем ее разглашения людьми, утерей ими носителей с информацией, переносом информации с помощью полей, потоков элементарных частиц, веществ в газообразном, жидком или твердом виде. Например, желание сотрудников поделиться последними новостями о работе с родными или близкими создает предпосылки для утечки конфиденциальной информации. Переносчиками информации могут быть любые ее носители.
Часто под утечкой понимают процесс вроде вытекания воды из неисправного крана. Например, утечку иногда определяют как несанкционированное распространение носителя с защищаемой информацией за пределы контролируемой зоны. Такой подход представляется неверным, так как для информации не выполняется закон сохранения материи. Средства массовой информации миллионными экземплярами тиражируют сведения и при этом с их источником ничего не происходит.
|
|
Утечка информации по сравнению с утечкой (хищением) материальных объектов имеет ряд особенностей, которые надо учитывать при организации защиты информации:
— при утечке информации не выполняются законы сохранения материи, вследствие чего утечка не может быть обнаружена в результате уменьшения количества информации источника;
— утечка информации может происходить только при попадании ее к заинтересованному в ней несанкционированному получателю (злоумышленнику), в отличие, например, от утечки воды или газа;
— при утечке информации вследствие расширения круга ее потребителей цена информации уменьшается.
Первая особенность существенно усложняет своевременное обнаружение утечки информации. При утечке материальных объектов достаточно провести ревизию их наличия для обнаружения утечки объектов в результате, например, хищения. При утечке информации могут отсутствовать явные признаки ее хищения: документы в наличии, оттиски печатей на сейфе не нарушены, следов проникновения в помещение посторонних лиц нет. Однако появление косвенных признаков (внезапный выброс на рынок конкурентного товара с идентичными потребительскими свойствами, срыв по непонятным причинам выполнения договора и др.) вынуждает в качестве причины этих событий рассматривать утечку информации. Из-за существенного запаздывания проявляющихся признаков по отношению ко времени утечки информации задача хотя бы частичной нейтрализации ее последствий становится весьма проблематичной.
|
|
Вторая особенность имеет существенное значение для безопасности информации, так как сами по себе факты утери документа, разглашения сведений, распространения носителей за пределы контролируемой зоны и другие действия далеко не всегда приводят к утечке информации. Например, если конфиденциальный разговор во время совещания в кабинете руководителя организации слышен в приемной из-за неплотно закрытой двери, а в приемной нет посторонних людей, то утечки информации нет, хотя носитель информации (акустическая волна) выходит за пределы контролируемой зоны — кабинета. Только в том случае, когда в приемной будет находиться сотрудник организации или посетитель, который воспользуется информацией из услышанного разговора в личных или иных целях или поделится ею с другими заинтересованными в ней людьми, происходит утечка информации из кабинета руководителя.
В общем случае можно говорить об утечке информации как факте нарушения ее безопасности только в том случае, если она попадает к злоумышленнику независимо от того, знает или не знает об этом владелец информации. Если по какой-то причине на этом пути передачи информации происходит разрыв в цепочке, то информация исчезает вместе с ее носителем, а утечки информации не происходит.
Следовательно, под утечкой следует понимать не процесс распространения носителя, а вариант распространения, заканчивающийся попаданием информации к злоумышленнику. Выход же ноителя за пределы заданной области создает предпосылки для утечки информации и повышает угрозу ее безопасности. Замечание о несанкционированности получателя имеет принципиальное значение. Если получатель информации санкционирован, то речь идет не об утечке, а о передаче информации по так называемому функциональному каналу связи, специально создаваемому для обеспечения коммуникаций в человеческом обществе.
Возможность утечки информации характеризуется риском утечки, а целенаправленная деятельность по изменению возможности утечки называется управлением риском.
Часто хищение и утечку информации рассматривают как автономные процессы. Если под хищением понимать умышленное присвоение чужой собственности без разрешения ее законного владельца, то несанкционированное получение информации в результате ее утечки представляет собой один из способов ее хищения. Действительно, если человек на государственной земле находит клад, слиток из драгоценных металлов или драгоценный камень, которые по закону являются собственностью государства, то он обязан их сдать соответствующему государственному органу. В противном случае его действия классифицируются как хищение и он может быть привлечен к ответственности. Аналогичная ситуация с утечкой информации. Когда злоумышленник находит утерянный документ с грифом «секретно» и сознательно, понимая о наносимом владельцу информации ущербе, продает его зарубежной спецслужбе, то он может быть привлечен к уголовной ответственности за хищение государственной тайны.