Имеющийся зарубежный и отечественный опыт защиты служебных, производственных и коммерческих секретов свидетельствует, что без активного вовлечения в этот процесс всех сотрудников, имеющих доступ к конфиденциальной информации, результат не может быть полным. Специалисты по защите информации приводят данные, утверждающие, что определяющей фигурой, в обеспечении сохранности ценных сведений предприятия является его сотрудник. Уже сегодня 75% служащих США и 80% в Японии - занимаются обработкой информации.
Анализ угроз информации, проведенной специальной командой по обеспечению безопасности информации проведенной в 1995 г. в министерстве обороны США, позволил выделить следующие виды угроз информационным ресурсам - по возрастанию степени их опасности:
-некомпетентные служащие;
-хакеры и крэкеры;
-неудовлетворенные своим статусом служащие;
-нечестные служащие;
-инициативный шпионаж;
-организованная преступность;
-политические диссиденты;
-террористические группы.
|
|
Угроза, исходящая от некомпетентности служащих, по мнению экспертов, основывается на алгоритмической уязвимости информационных систем, которая не исключает возможности некомпетентных действий и может привести к сбоям системы. Эта угроза исходит в основном от слабо подготовленных администраторов, которые незаслуженно достигли привилегированного положения и способны на нечестные поступки для достижения еще больших привилегий.
Хакеры и крекеры (специализирующиеся на взломе коммерческих программ) являются гораздо более технически грамотными личностями. В зависимости от мотивов, целей и методов действий всех хакеров можно разбить на несколько групп, начиная с дилетантов и кончая профессионалами. Их можно представить четырьмя группами:
- начинающий хакер;
- освоивший основы работы на ПЭВМ и в составе сети;
- классный специалист;
- специалист высокого класса.
В таблице 2 представлены группы хакеров и их возможности по реализации злонамеренных действий:
Хакеры весьма многообразны и многочисленны, среди них встречаются просто «шутники» и настоящие вандалы.
Неудовлетворенные служащие предоставляют внутреннюю угрозу. Они опасны тем, что имеют легальный доступ. То же можно сказать и про нечестных служащих. В данном случае трудно определить, какая из этих категорий служащих может нанести больший урон. Обычно действия таких служащих выливаются в закладку «логической бомбы». Так в августе 1983 г. на ВАЗе следственной бригадой прокуратуры РСФСР был изобличен программист, который из мести к руководству предприятия умышленно внес изменения в программу ЭВМ, обеспечивающей заданное технологическое функционирование автоматической системы подачи механических узлов на главный сборочный конвейер завода. В результате произошел сбой в работе и был причинен материальный ущерб: 200 машин не сошло с конвейера (ущерб в 1 млн. рублей в ценах 1983 г.). Программист был привлечен к уголовной ответственности. В ходе судебного разбирательства судья и заседатели испытали немалые трудности, т.к. преступление не попадало ни под одну статью действующего уголовного законодательства. Однако приговор был все таки вынесен: три года лишения свободы условно; взыскание суммы, выплаченной рабочим за время вынужденного простоя главного конвейера; перевод на должность сборщика.
|
|
Таблица 2 Классификация групп хакеров
Возможности Группы | Запуск задачи из фиксированного набора, реализующих заранее предусмотренные функции по обработке | Создание и запуск собственных программ с новыми функциями по обработке информации | Возможность управления функционированием ИС, т.е. воздействие на базовое ПО, на состав и конфигурацию ее оборудования | Полное и всестороннее воздействие на средства ИС вплоть до включения в состав ИС своих средств и ПО |
Начинающий хакер | + | |||
Освоивший основы работы на ЭВМ и в составе сети | + | + | ||
Классный специалист | + | + | + | |
Специалист высшего класса | + | + | + | + |
Инициативный шпионаж непосредственно примыкает к двум вышеприведенным угрозам, исходящим от служащих, и может принести массу неприятностей компании.
Угроза, исходящая от организованных преступных группировок, основывается на том, что информация является основой мировой экономики, а, следовательно, криминальные элементы будут пытаться получить доступ к информационным ресурсам компаний, чтобы получить незаконные доходы.
Включение информационных систем фирм в международную сеть привлекают политических диссидентов. Их интересы состоят в распространении призывов к различным акциям, гражданскому неповиновению.
Участники террористических групп с помощью овладения информационными ресурсами и системами стараются придать своим акциям больше значения, запугать население, посеять панику.
В связи с этим предоставляется целесообразным в целях обеспечения информационной безопасности коммерческих структур уделять большее внимание подбору и изучению кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи.
Как свидетельствуют многочисленные опросы и приведенные свидетельства, в настоящее время многие руководители ведущих московских коммерческих структур, все более глубоко осознают роль и место своих сотрудников в создании и поддержке общей системы безопасности. Такое понимание этой проблемы ведет к настойчивому внедрению процедур тщательного отбора и расстановки кадров. Так, постепенно приобретают все более большую значимость рекомендательные письма, научные методы проверки на профпригодность и различного рода тестирования.