Лекция 5. Каналы и методы несанкционированного доступа к информации

5.1. Методика выявления каналов несанкционированного доступа к информации

Для того чтобы осуществить дестабилизирующее воздействие на защищаемую (конфиденциальную) информацию, людям, не имеющим разрешенного доступа к ней, необходимо его получить. Такой доступ называется несанкционированным(НСД). Как правило, несанкционированный доступ бывает преднамеренным и имеет целью оказать сознательное дестабилизирующее воздействие на защищенную информацию.

Несанкционированный доступ, даже преднамеренный, не всегда является противоправным. Чаще всего он, конеч­но, бывает незаконным, но нередко не носит криминального характера.

Несанкционированный доступ, осуществляется через существующий или специально создаваемый канал доступа, который определяется как путь, используя который, можно получить неразрешенный доступ к защищаемойинформации.

К методам несанкционированного доступа кзащищаемой информации относятся:

1. Установление контакта с лицами, имеющими или имевшими доступ к защищаемой информации;

2. Вербовка и (или) внедрение агентов;

3. Организация физического проникновения к носителям защищаемой информации;

4. Подключениек средствам отображение, хране­ния, обработки, воспроизведения ипередачи информации, средствам связи;

5. Прослушивание речевой конфиденциальной инфор­мации;

6. Визуальный съем конфиденциальной информации;

7. Перехват электромагнитных излучений;

8. Исследование выпускаемой продукции, производс­твенных отходов и отходов процессов обработки информации;

9. Изучение доступных источников информации;

10. Подключение к системам обеспечения производс­твенной деятельности предприятия;

11. Замеры и взятие проб окружающей объект среды;

12. Анализ архитектурных особенностей некоторых категорий объектов.

Состав реальных для конкретного предприятия кана­лов несанкционированного доступа к защищаемой информации и степень их опасности зависят от вида де­ятельности предприятия, категорий носителей, способов обработки информации, системы ее защиты, а также от устремлений и возможностей конкурентов. Однако даже если соперники известны, определить их намерения и возмож­ности практически не удается, поэтому защита должна пре­дусматривать перекрытие всех потенциально существую­щих для конкретного предприятия каналов.

5.2. Определение возможных методов несанкционированного доступа к защищаемой информации

Использование того или другого канала осуществляется с помощью определенных, присущих конкретному каналу методов и технологий несанкционированного доступа.

Самым распространенным, многообразным по методам несанкционированного доступа, а потому и самым опасным каналом является установление контакта с лицами, имеющими или имевшими доступ к защищаемой информации.

В первую группу входят лица, работающие на данном предприятии, а также не работающие на нем, но имеющие доступ к информации предприятия в силу служебного положения (из органов власти, вышесто­ящих, смежных предприятий и др.). Вторая группа включает уволенных или отстраненных от данной защищаемой информации лиц, в том числе продолжающих работать на предприятии, а также эмигрантов и «перебежчиков». Эта группа наиболее опасна, поскольку нередко имеет дополнительные причины для разглашения информации (обида за увольнение, недовольство государствен­ным устройством и др.).

Контакт с этими людьми может быть установлен различными путями, например, на семинарах, выставках, конференциях и других публичных мероприятиях. Опосредованный контакт, осуществляемый через посредников (без прямого общения, диалога), устанавливается через коллег, родственников, знакомых, которые и выступают в роли посредников.

Использование данного канала может иметь целью уничтожение или искажение информации с помощью лиц, имеющих к ней доступ, или для получения защищаемой информации. При этом применяются различные ме­тоды несанкционированного доступа к информации.

Наиболее распространенным методом является выведывание информации под благовидным предлогом («использование собеседника втемную»). Это может осуществляться в неофициальных беседах на публичных мероприятиях и т. д. с включением в них пунктов, касающихся защищаемой информации.

Широко используется метод переманивания сотрудников конкурирующих предприятий с тем, чтобы, помимо использования их знаний и умения, получить интересующую защищаемую информацию, относящуюся к прежнему месту их работы.

При использовании метода покупки защищаемой информации активно ищут недовольных заработком, руководством, продвижением по службе.

Следующий метод - принуждение к выдаче защищаемой информации шантажом, различного рода угрозами, применением физического насилия как к лицу, владеющему информацией, так и к его родственникам и близким.

Можно использовать склонение к выдаче защищаемой информации убеждением, лестью, посулами, обманом, в том числе с использованием национальных, политических, религиозных факторов.

С ростом промышленного шпионажа все более опасным каналом становится вербовка и внедрение агентов. Отличие агентов от лиц, осуществляющих разовые продажи защищаемой информации, состоит в том, что агенты работают на постоянной основе, занимаются система­тическим сбором защищаемой информации и могут оказывать на нее другое дестабилизирующее воздействие.

С помощью агентов разведывательные службы обычно стремятся получить доступ к такой информации, которую нельзя добыть через другой, менее опасный канал. И хотя агентурная разведка, именуемая в уголовном праве шпионажем, сурово карается, она практикуется в широких масш­табах, поскольку агенты могут получать не только защищаемую информацию, относящуюся к их служебной деятельности, но и иную, используя различные методы несанкционированного доступа к ней, а также оказывать другое дестабилизирующее воздействие на информацию.

Третий метод - это организация физического проникновения к носителям защищаемой информации сотрудников разведывательных служб - используется сравнительно редко, поскольку он связан с большим риском и требует знаний о месте хранения носителей и системе защиты информации, хотя уровень защиты информации в некоторых государственных и многих частных структурах дает возможность получать через этот канал необходимую информацию.

Физическое проникновение лиц, не работающих на объекте, включает два этапа: проникновение на территорию (в здания) охраняемого объекта и проникновение к носителям защищаемой информации.

При проникновении на территорию объекта возможно применение следующих методов:

а) использование подложного, украденного или купленного (в том числе и на время) пропуска;

б) маскировка под другое лицо, если пропуск не выдается на руки;

в) проход под видом внешнего обслуживающего персонала;

г) проезд спрятанным в автотранспорте;

д) отвлечение внимания охраны для прохода незамеченным (путем создания чрезвычайных ситуаций, с помощью коллеги и т. д.);

е) изоляция или уничтожение охраны (в редких, чрез­вычайных обстоятельствах);

ж) преодоление заграждающих барьеров (заборов), минуя охрану, в том числе и за счет вывода из строя технических средств охраны.

Проникновение к носителям защищаемой информации может осуществляться путем взлома дверей хранилищ и сейфов (шкафов) или их замков, через окна, если проникновение производится в нерабочее время, с отключением (разрушением) сигнализации, телевизионных средств наблюдения (при необходимости), или, при проникновении в рабочее время, путем прохода в комнаты исполнителей, работающих с защищаемыми документами, в производственные и складские помещения для осмотра техноло­гических процессов и продукции, а также в помещения, в которых производится обработка информации.

Проникновение к носителям защищаемой информации осуществляется и во время их транспортировки с использованием, в зависимости от вида, условий и маршрута транспортировки, соответствующих методов.

Целью проникновения является, как правило, получение защищаемой информации, но она может состоять и в оказании на информацию дестабилизирующих воздействий, приводящих к ее уничтожению, искажению, блокированию.

Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации, средс­тва связи (четвертый метод несанкционированного доступа к конфиденциальной информации) может осуществляться лицами, находящимися на территории объекта и вне его. Не­санкционированное подключение, а, следовательно, и несанкционированный доступ к защищаемой информации может производиться:

а) с персонального компьютера с использованием телефонного набора или с несанкционированного терминала со взломом парольно-ключевых систем защиты или без взлома с помощью маскировки под зарегистрированного пользователя;

б) с помощью программных и радиоэлектронных закладных устройств;

в) с помощью прямого присоединения к кабельным линиям связи, в том числе с использованием параллельных телефонных аппаратов;

г) за счет электромагнитных наводок на параллельно проложенные провода или методов высокочастотного навязывания.

Пятый метод — это прослушивание речевой информации — всегда широко использовался, его опасность увеличивается по мере появления новых технических средств прослушивания. При этом речь идет о про­слушивании не агентами, находящимися внутри помещения, а лицами, расположенными вне задания, иногда на значительном расстоянии от него. Такое прослушивание чаще всего осуществляется по двум направлениям:

а) подслушивание непосредственных разговоров лиц, допущенных к данной информации;

б) прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к средствам ее звуковоспроизведения.

Шестой метод это визуальный съем защищаемой информации. Может осуществляться следующими способами:

а) чтением документов на рабочих местах пользователей (в том числе с экранов дисплеев, с печатающих устройств) в присутствии пользователей и при их отсутствии;

б) осмотром продукции, наблюдением за технологическим процессом изготовления продукции;

в) просмотром информации, воспроизводимой средствами видеовоспроизводящей техники и телевидения;

г) чтением текста, печатаемого на машинке и размножаемого множительными аппаратами;

д) наблюдением за технологическими процессами изготовления, обработки, размножения информации;

е) считыванием информации в массивах других поль­зователей, в том числе чтением остаточной информации.

Перехват электромагнитных излучений (седьмой метод) включает в себя перехват техническими средствами как функциональных сигналов, так и особенно побочных, создаваемых техническими средствами отображения, хра­нения, обработки, воспроизведения, передачи информации, средствами связи, охранной и пожарной сигнализации, системами обеспечения функционирования этих средств, техническими средствами технологических процессов не­которых промышленных объектов, образцами вооружения и военной техники, вспомогательными электрическими и радиоэлектронными средствами (электрическими часами, бытовыми магнитофонами, видеомагнитофонами, радиоприемниками, телевизорами).

Методами перехвата являются поиск сигналов, выделение из них сигналов, несущих защищенную инфор­мацию, съем с них информации, ее обработка и анализ.

Этот канал имеет, по сравнению с другими каналами, преимущества: большой объем и высокая достоверность получаемой информации, оперативность ее получения, возможность съема в любое время, скрытность получения, возможность обнародования без угрозы перекрытия канала.

Восьмой метод заключается в исследовании выпускаемой продукции, произ­водственных отходов и отходов процессов обработки информации. Суть этого метода может состоять из:

а) приобретения и разработки (расчленения, выделения отдельных составных частей, элементов) выпускаемых изделий, их химический и физический анализ (обратный инжиниринг) с целью исследования конструкции, компо­нентов и других характеристик;

б) сбора и изучения поломанных изделий, макетов изделий, бракованных узлов, блоков, устройств, деталей, со­зданных на стадии опытно-конструкторских разработок, а также руды и шлаков, позволяющих определить состав материалов, а нередко и технологию изготовления продук­ции;

в) сбора и прочтения черновиков и проектов конфиденциальных документов, копировальной бумаги, красящей ленты печатающих устройств, прокладок, испорченных

магнитных дискет.

Следует отметить, что восьмой метод возможен, как пра­вило, при нарушении требований по хранению носителей защищаемой информации и обращению с ними.

Использование девятого метода заключается в изучении доступ­ных источников информации, из которых можно получить, защищаемые сведения. Реализация этого метода возможна следующем путем:

a) изучения научных публикаций, содержащихся в специализированных журналах (сборниках);

б) просмотра (прослушивания) средств массовой информации (газет, журналов, теле- и радиопередач);

в) изучения проспектов и каталогов выставок;

г) прослушивания публичных выступлений на семинарах, конференциях и других публичных мероприятиях;

д) изучения формируемых специализированными коммерческими структурами банков данных о предприятиях.

Целью изучения является не только получение прямой конфиденциальной информации, но и накопление, обоб­щение, сопоставление открытой информации, собранной из различных источников и за определенный промежуток времени, что позволяет «вывести» конфиденциальную ин­формацию. Несмотря на кажущийся парадокс (в открытых источниках закрытая информация), такой анализ даст возможность получить значительное количество конфиденциальной информации.

5.3. Деловая разведка как канал несанкционированного доступа для получения информации

Долгое время разведдеятельность являлась государственной монополией. А образ разведчика с «чистыми ру­ками, холодной головой и горячим сердцем» (такой, как Штирлиц) знаком всем до боли.

Меняются времена... Меняется представление о разведке. И сегодня она уже не является прерогативой государственных служб, работавших только на свое правительство. В наше время — это настоятельная потребность любой корпорации, которая хочет жить и развиваться. Уп­равляющие предприятий не могут позволить себе очутиться на зыбкой почве неполной или, что еще хуже, неточной информации о том, куда планируют двигаться их конкуренты, или о том, как те, кто еще не являются конкурентами, быстро и скрытно завоевывают свою долю рынка. Они по­нимают, что победа сегодня всего лишь дает возможность быть конкурентоспособным завтра. Такая деятельность по­лучила благозвучное название — деловая разведка. Кото­рая подразумевает... этически выдержанные и законода­тельно не ограниченные сбор, систематизацию и анализ открытой информации.

Основная задача деловой (коммерческой) развед­ки — обеспечение стратегического менеджмента фирмы, ее генеральной, в том числе маркетинговой стратегии (или стратегий). Обеспечение, прежде всего, информацией упреждающего характера, информацией, предоставляющей конкурентные преимущества (стратегического или так­тического характера), информацией, позволяющей при­нимать грамотные решения адекватные складывающейся оперативной обстановке и условиям окружающей конку­рентной, агрессивной среды.

Какими методами осуществляется данная деятель­ность?

1. Пассивными методами, т. е. работой со вторичными источниками (что в большинстве случаев подразумевает методы конкурентной разведки) и активными методами, т. е. работой с первоисточниками (агентурные возможнос­ти), наблюдением, проведением активных мероприятий и иными методами добывания достоверной разведыватель­ной информации.

2. Активные методы разведывательной деятельнос­ти очень часто, и небезосновательно, относят к методам промышленного шпионажа, однако именно они могут предоставить конкурентные преимущества фирме (ее разведоргану), осуществляющей разведку. Совершенно не­обязательно, что указанные методы являются преступными (противозаконными), другое дело, что в большинстве случаев они осуществляются негласно, т. е. тайно. Здесь стоит вспомнить, что практически все разведсведения добываются не глубоко законспирированными резидентами, а мето­дом анализа открытых источников информации: пресса, телевидение, компьютерные сети...

В учебниках по контрразведке в свое время фигурировали цифры 70-80% по отношению к спецслужбам вероятного противника, работающим против СССР. Сохраняется этот принцип и в работе деловой разведки.

Контрразведка (контрразведывательная деятельность) предназначена для защиты и обеспечения безопасности субъекта предпринимательской деятельности. В качест­ве объектов контрразведки выступают различные факто­ры группы риска, оказывающие, в той или иной степени, негативное воздействие на субъект защиты, основными из которых являются противоправная деятельность конкурентов, криминальных структур, проявления фактов про­мышленного (коммерческого) шпионажа, мошенничества и иных действующих рисков. Как уже говорилось, основ­ная задача контрразведки обеспечение безопасности, защи­та субъекта предпринимательской деятельности, другими словами, контрразведка — это, прежде всего, оборона. По­этому этот аспект мы рассматривать не будем.

Под деловой разведкой подразумеваются четыре различных направления сбора информации:

1. Сбор данных о партнерах и клиентах для предотвращения мошенничеств с их стороны;

2. Определение потенциальных партнеров и сотрудников. Речь, в первую очередь, идет о реальном финансовом положении и наличии и/или характере связей (криминаль­ные структуры, милиция, спецслужбы и пр.);

3. Выполнение услуг, предусмотренных «Законом о частной детективной и охранной деятельности» (поиск имущества должника и т. п.);

4. Сбор информации маркетингового характера.

Несмотря на то, что деловая разведка является развивающейся сферой деятельности, ее цели и задачи опреде­лены достаточно четко. Это службы, отвечающие за сбор, накопление и анализ информации о конкурентах и потен­циальных партнерах, за проведение маркетинговых иссле­дований и прогноз возможных рисков. Деловая разведка подразумевает использование опыта различных отраслей: экономики, юриспруденции, деятельности спецслужб. И первый вопрос, который задается, — степень легитимности деловой разведки. Четкую границу между промыш­ленным шпионажем и деловой разведкой провести трудно. И все же главное отличие деловой разведки состоит в том, что вся информация добывается законными способами.

Если в промышленном шпионаже используют методы, которые подразумевают прямое нарушение закона: шантаж, подкуп, воровство, насилие, физическое устранение, — то в деловой разведке невозможно обращение к таким приемам. Другой аспект— соблюдение норм морали. Ведь в данном случае при их нарушении не последует никаких карательных акций. Некоторые компании деклари­руют кодекс поведения, несмотря на то, что это может ограничить возможности работников. Чем можно объяснить подобное стремление? Во-первых, заботой об имени и ре­путации фирмы. Во-вторых, таким образом можно застраховать себя от множества негативных последствий (напри­мер, судебных разбирательств).

Каковы же общие этические принципы ведения деловой разведки? Можно выделить следующие правила: отказ от получения информации путем обмана, шантажа; отказ от противоправных действий,

В принципе, все выделенные аспекты лишний раз напоминают о том, что при проведении деловой разведки не­обходимо использовать законные методы, несоблюдение этих норм влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответствен­ность.

В России вопросы права на информацию полны парадоксов. С одной стороны, в нашей стране существует около 20 видов тайны, поэтому теоретически можно ограничить доступ к сведениям почти по любой тематике. При этом отсутствует законодательство, которое регулирует открытость различных категорий данных (тех же кредитных историй юридических и физических лиц). С другой стороны, коррупция чиновников всех уровней позволяет без особо­го труда добыть нужные сведения. На рынках, торгующих электроникой, и в Интернете можно сегодня купить CD-ROM со служебными базами данных практически всех го­сударственных ведомств: начиная с таможни и ГИБДД, за­канчивая списками владельцев элитного жилья и базами данных телефонных сетей. Причем в последних есть даже «закрытые» телефоны и адреса сотрудников МВД, ФСБ, судей, политиков, эстрадных звезд.

Большую часть всей информации разведка получает из открытых источников. Основную роль в этой категории се­годня играет Интернет, открывающий доступ к СМИ, сай­там компаний, профессиональным базам данных и т. п. Ин­тернет-сеть дает возможность получить сведения о любом человеке, товаре, предприятии. Посетить сайт компании — все равно что побывать в самой фирме. Здесь можно найти информацию об услугах, продукции, контактах, сотрудни­ках, планах, новинках и т.п.; ярмарки, выставки, конфе­ренции, семинары. Главная проблема такого поиска в том, что данные не структурированы и зачастую их невозможно найти с помощью поисковых систем.

Вторая группа источников — всевозможные бумажные документы: подшивки газет и журналов, реклама, пресс-ре­лизы; еще в 1930-е годы аналитики советской и германской разведок могли похвастаться многочисленными достиже­ниями в этой сфере.

Кроме того, очень популярны имеющиеся в продаже, но в отличие от упоминавшихся выше вполне легальные базы данных госучреждений. Особенно часто используют­ся базы данных Московской регистрационной палаты, ре­гистрационных органов других городов и регионов России, Госкомстата, Торгово-промышленной палаты, Госкомимущества. Отдельные доступные базы данных есть в некото­рых министерствах и комитетах. Существует негосударс­твенная база данных «Лабиринт», составленная на основе публикаций ведущих изданий, с помощью которой можно получить обширную информацию о конкретных персона­лиях и компаниях.

Для облегчения работы аналитиков созданы специаль­ные компьютерные программы, позволяющие в кратчай­шие сроки отбирать и сортировать информацию из СМИ и баз данных. На сегодняшний день их разработано более двухсот.

Хорошую информацию о конкурентах приносит визуальный мониторинг. Его исполь­зование может подкорректировать представление о стра­тегии компании-конкурента. Как правило, к проведению таких акций, как выставки или конференции, очень тща­тельно готовятся, фирмы хотят продемонстрировать свою новую продукцию или хотя бы рассказать о ней. Посеще­ние подобных мероприятий дает возможность получить наглядное впечатление, определить степень интереса к но­винке как со стороны потенциальных партнеров, так и со стороны потребителя, увидеть результаты всевозможных тестов или сравнительных испытаний. Небезынтересным в этом смысле будет изучение книги отзывов. К визуаль­ному мониторингу можно отнести и обход торговых точек конкурирующих компаний. Наблюдения такого рода дают материал о товарном ассортименте, работе персонала, ус­лугах, ценовой политике, портрете покупателя и т.п.; не­формальное общение с коллегами и партнерами. Не должна ускользать от внимания и информация, не подтвержденная официальными источниками или СМИ. Кулуарные беседы с коллегами по бизнесу зачастую способны добавить более достоверные сведения.

Важно уделять внимание не только специальной лите­ратуре или профильным изданиям. Часто крупицы инфор­мации можно обнаружить в неосторожном интервью или необдуманном комментарии. Даже рекламные объявления или список опубликованных вакансий способны навести на размышления о планируемых мероприятиях.

Хотя методы деловой разведки еще только формиру­ются, очевидно, что без применения современных компью­терных технологий и умения работать с информацией по­ложительных результатов не будет. При этом речь идет о работе не столько со средствами массовой информации, сколько со специальными, сложными информационными системами, обеспечивающими доступ ко всем открытым источникам.

Практическое использование программных продуктов сетевой разведки дает, в частности, возможность:

а) постоянно отслеживать и анализировать информа­цию, имеющую отношение к деловой деятельности клиен­та;

б) выбирать специфическую информацию, которую обычно не предоставляют информационно-поисковые сис­темы общего пользования;

в) наладить постоянный поток информации о действи­ях конкурента (таких как ценовая политика, слияния и пог­лощения, рекламные объявления и анонсы);

7) раскрывать планы конкурента еще до их реализа­ции;

д) проводить изучение потенциального спроса на про­дукцию и услуги.

Деловая разведка — это постоянный процесс сбора, обработки, оценки и накопления данных, их анализа с целью принятия оптимальных решений. В самом процессе ее проведения можно выделить следующие этапы:

1. сбор данных, которые, по сути, еще не являются ин­формацией;

2. структурирование информации;

3. хранение и анализ структурированных данных;

4. синтез знаний, которые и станут первым продуктом деловой разведки;

5. фаза принятия управленческого решения (стратеги­ческого или тактического);

6. принятие решения приводит к действию и, соот­ветственно, к конкретному результату.

Разведывательная деятельность является одной из раз­новидностей информационной работы, основополагающий принцип которой— четкое разделение понятий: данные (сведения), информация и знания.

Когда говорят, что для принятия решения необходи­мо осмыслить огромное количество информации, то совер­шают огромную понятийную ошибку, смешивая термины «данные» и «информация». Часто бывает много данных, а информации как раз недостаточно.

Понимание этой разницы помогает сделать процесс принятия решений более эффективным. В чем же разли­чие? Данные основаны на фактах. Это может быть статис­тика, отрывки информации о персоналиях, хозяйствующих субъектах, т. е. обо все том, что представляет оператив­ный интерес. Дилетантам часто кажется, что данные могут о чем-то рассказать, но на самом деле этого не происхо­дит. Никто не может принять правильное решение, исходя только из данных, независимо от того, насколько они точ­ны или обширны.

Информация, напротив, представляет собой некую со­вокупность данных, которые были отобраны, обработаны и проанализированы, после чего их можно использовать для дальнейших действий.

Синтезированные решения и рекомендации представ­ляют собой конечный информационный продукт— зна­ния. Лицу, принимающему решение, нужны именно ин­формация и знания, а не просто данные.

5.4. Информационный продукт как следствие реализации несанкционированных действий

Остановимся на принципах информационной работы.

1. Определение цели. Подход к решению любой ин­формационной задачи должен зависеть то того, в каких целях будут использованы полученные результаты. Цель задания не только определяет сроки его выполнения, но и размах работы, форму изложения и подход к работе. И хотя непосредственная цель информационного документа₅ как правило, состоит в решении «задачи», может сущест­вовать и более широкая цель: использовать полученное ре­шение задачи для выработки дальнейшего курса, или руко­водства к действию.

2. Определение понятий. Вопрос терминологии всег­да считался самым сложным в любой сфере деятельности. Четкие определения особенно необходимы и в информа­ционной работе деловой разведки. Четкие определения за­ставляют четко мыслить и сосредоточиться на достижении действительно желаемой цели и ограждают от ошибок. Для примера достаточно вспомнить широко употребляемые термины, такие, как уязвимые места, возможности и т. д.

3. Использование имеющихся источников. Для реали­зации этого принципа требуется тщательно использовать все источники, из которых можно почерпнуть сведения по изучаемому вопросу. При этом необходимо определить пределы использования каждого источника, а также в ка­кой степени содержащиеся в них данные подтверждают или опровергают друг друга. Чем больше источников, тем легче произвести перепроверку. При использовании многих источников разведывательная информация получает более широкую основу, рассматриваемые вопросы освеща­ются глубже и уменьшается возможность допустить серь­езную ошибку.

4. Раскрытие значения фактов. Этот принцип требу­ет выяснять смысл сырых фактов. Добиться этого можно, например, путем сравнения имеющихся данных с анало­гичными, полученными ранее (например, год назад). По­казывая значения факта, мы тем самым в большой степени увеличиваем его полезность. Факты редко говорят сами за себя.

5. Установление причины и следствия. При решении любой информационной задачи исследователь должен ус­тановить причинно-следственные связи межу различными явлениями. Это поможет выявить решающий фактор.

6. Определение тенденций развития. Необходимо ус­тановить, развивается ли изучаемое явление по восходя­щей или нисходящей линии и с какой динамикой. Является ли тенденция развития событий устойчивой, циклической, или неизменной. Учет тенденций тесно связан с предвиде­нием.

7. Степень достоверности. Этот принцип подразуме­вает учет достоверности полученных данных, точность цифрового материала и степень правильности оценок и вы­водов. Эти три аспекта являются элементами понятия сте­пени достоверности. В каждом конкретном случае степень достоверности полученных данных, точности цифрового материала и правильности оценок и выводов может быть высокой, малой и средней.

8. Выводы. Собственно, в выводах и состоит цель всей работы. Именно правильно сделанные выводы могут стать достижением поставленной цели. Выводы должны быть

сделаны кратко и четко, но так, чтобы краткость не порож­дала неправильные представления.

Информационная работа представляет собой замкну­тый цикл в результате прохождения которого из «сырой» информации получаются разведывательные сведения.

На рис 5.1. представлены этапы (цикл) информацион­ной работы.

Этап 1. Общее знакомство с проблемой. Ознакомле­ние с проблемой в целом, а также со смежными вопросами, изучение которых может оказаться полезным; составление общего плана работы с указанием срока выполнения, ис­полнителей и основных источников, которые предположи­тельно могут быть использованы.

Этап 2. Определение используемых терминов и по­нятий. Необходимо определить и объяснить тот или иной термин или понятие так, чтобы это было ясно нам самим, тем, кто контролирует нашу работу, и тем, кто пользуется нашей информацией. Следует определить, что мы имеем и чего не имеем в виду, когда употребляем тот или иной тер­мин или понятие.

Этап 3. Сбор фактов.

Этап 4. Истолкование фактов. Так кратко можно на­звать процесс изучения и обработки фактов с целью вы­жать из них все, что они значат. Этот этап включает оцен­ку, классификацию, анализ и уяснение фактов. Иногда полезно на основе имеющихся фактов построить диаграм­мы, графики, подвергнуть их статистическому анализу.

с проблемой

Рис 5.1. Последовательность этапов информационной работы

Этап 5. Построение гипотезы. Рабочие гипотезы, вы­двигаемые на этом этапе, обычно связаны с какими-либо конкретными вопросами, отвечая на которые можно про-верить сами гипотезы. Построение гипотезы, взятое в ши­роком смысле, всегда присуще любой исследовательской работе. В самом начале исследования, когда вырабатывает­ся общий план, мы исходим из определенных предположе­ний (или гипотез) о том, какие факторы, вероятно, играют важную роль и какие почти определенно не имеют отноше­ния к делу. Аналогичными гипотезами мы руководствуем­ся при сборе и истолковании фактов, формулировании вы­водов и предложений.

Этап 6. Выводы. На этом этапе производятся исследо­вания, необходимые для доказательства или опровержения рабочих гипотез, выдвинутых на этапе 5, и формулируются окончательные выводы.

Этап 7. Изложение. Составление документа, заверша­ющее работу. Составитель информационного документа должен не только ясно представлять себе то, о чем он пи­шет, но и уметь выразить свои мысли в ясной форме. При­чем необходимо не только сформулировать полученные результаты, но и указать степень достоверности каждого утверждения.

Работа, проделанная на каждом этапе, считается пред­варительной, и могут быть внесены изменения в зависи­мости от новых данных, полученных по мере продолже­ния исследования на последующих этапах. Например, сбор фактов нельзя провести сразу и закончить в один прием.

После того как собрана часть фактов, их истолкование, несомненно, покажет, по каким вопросам требуется соб­рать дополнительные факты, и тем самым даст направле­ние последующей исследовательской работе.

Точно так же дело обстоит и на других этапах. Напри­мер, общий план работы является в момент его разработки предварительным. Мы должны быть готовы принять его и в равной мере должны быть готовы возвращаться назад и вносить изменения в наш предварительный план каждый раз, когда в свете новых данных в этом возникнет необхо­димость.

Применяя метод обратной последовательности этапов, мы расширяем свои знания по изучаемому вопросу.

Необходимо отметить место, занимаемое этапом «пос­троения гипотезы» во всем процессе (или цикле) информа­ционной работы.

Мы видели, что все предварительное планирование ра­боты по выполнению поставленного перед нами задания подсознательно основывается на предположениях и догад­ках, которые имеют отношение к изучаемой проблеме.

Фактически без гипотез мы не можем даже думать об исследовании какого-либо вопроса. Иногда, составляя пе­речень этих гипотез и критически оценивая правильность каждой из них, мы обнаруживаем некоторые старые ошиб­ки и находим более успешный метод решения стоящих пе­ред нами задач. Большое количество предположений, вы­двигаемых в процессе исследовательской работы, редко подтверждается или выясняется, что некоторые из них со­держат серьезные ошибки.

Из всех этапов информационной работы построение гипотезы больше всех связано с процессом чистого мыш­ления. Построение гипотезы практически можно рассмат­ривать как важнейший этап исследовательского цикла, а все остальные основные этапы — как вспомогательные.

Информационная работа— это процесс творческого мышления. Условно его можно разделить на четыре ста­дии:

1. накопление знаний и сведений;

2. анализ материала;

3. выводы;

4. проверка выводов.

Можно связать стадии творческого мышления с основ­ными этапами информационной работы (рис 5.2.).

На стадии накопления знаний и сведений мы сталки­ваемся с огромной массой фактов, которые в большей или меньшей степени относятся к делу. С ошибками, предрас­судками, идеями, представлениями, накопившимися в на­шем сознании в результате образования и всего жизнен­ного опыта. Некоторые идеи и представления, имеющие прямое отношение к поставленной задаче, могут быть вы­ражением общепринятых взглядов и накладывать отпеча­ток на определение подхода к проблеме на сознательный и подсознательный процесс мышления.

То есть в информационной работе разведки часто бы­вает очень важно по-новому взглянуть на существующие обстоятельства, критически их переоценить.

Рис 5.2. Четыре стадии процесса творческого мышления во взаимосвязи с этапами информационной работы

5.5. Модель потенциального нарушителя

Проведя анализ статистических данных, можно сде­лать вывод, что около 70% всех нарушений, связанных с безопасностью информации, совершаются именно сотруд­никами предприятия. Человек, кроме всего прочего, является первым по значимости носителем информации. Он обеспечивает функционирование системы, ее охрану и за­щиту. В то же время он, при определенных обстоятельс­твах, может стать главным источником угрозы защищае­мой информации.

Поэтому целесообразно рассмотреть модель наруши­теля, которая отражает его практические и теоретические возможности, априорные знания, время и место действия и т. п.

Для достижения своих целей нарушитель должен при­ложить некоторые усилия, затратить определенные ресур­сы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно, если это возможно), либо точнее определить требования к системе защиты от данно­го вида нарушений или преступлений. В каждом конкрет­ном случае, исходя из конкретной технологии обработки информации, может быть определена модель нарушите­ля, которая должна быть адекватна реальному нарушителю для данной системы.

При разработке модели нарушителя определяются:

1.

а) предположения о категориях лиц, к которым может принадлежать нарушитель;

б) предположения о мотивах действий нарушителя (преследуемых нарушителем целях);

в) предположения о квалификации нарушителя и его технической оснащенности (об используемых для совер­шения нарушения методах и средствах);

г) ограничения и предположения о характере возмож­ных действий нарушителей.

2. По отношению к исследуемой системе нарушители мо­гут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренним наруши­телем может быть лицо из следующих категорий персона­ла:

а) пользователи системы;

б) персонал, обслуживающий технические средства (инженеры, техники);

в) сотрудники отделов;

г) технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения);

д) сотрудники службы безопасности;

е) руководители различных уровней должностной ие­рархии.

3. К посторонним лицам, которые могут быть нарушите­лями, относятся:

а) клиенты (представители организаций, граждане);

б) посетители (приглашенные по какому-либо поводу);

в) представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т. п.);

г) представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их зада­нию;

д) лица, случайно или умышленно нарушившие про­пускной режим;

е) любые лица за пределами контролируемой террито­рии.

4. Действия злоумышленника могут быть вызваны следу­ющими причинами:

а) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит ка­кие-либо действия по компрометации информации, не свя­занные со злым умыслом;

б) бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама политика безопасности. Такой вид нарушений называется зондированием системы:

в) нарушение безопасности может быть вызвано и корыстным интересом. В этом случае сотрудник будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой на предприятии информации;

г) желание найти более перспективную работу. Известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кад­ров необходимо уделять особое внимание. Если рассматри­вать компанию как совокупность различных ресурсов, то люди должны стоять на первом месте, т. к. именно они воп­лощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы;

д) специалист, работающий с конфиденциальной ин­формацией, испытывает отрицательное психологическое воздействие, обусловленное спецификой этой деятельнос­ти. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информа­цией, сотрудник постоянно боится возможной угрозы утра­ты документов, содержащих секреты. Выполняя требова­ния режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам и, как следствие, к нарушению статуса информации.

Всех нарушителей можно классифицировать следую­щим образом.

1. По уровню знаний о системе;

а) узнает функциональные особенности, основные за­кономерности формирования в ней массивов данных, уме­ет пользоваться штатными средствами;

б) обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

в) обладает высоким уровнем знаний в области про­граммирования и вычислительной техники, проектирова­ния и эксплуатации автоматизированных информацион­ных систем;

г) знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

2. По уровню возможностей (используемым методам и средствам):

а) «Эксперт» — индивид, чьи профессиональные зна­ния и контакты (как работа, так и хобби) обеспечивают первоклассную ориентацию в разрабатываемом вопросе. Он может помочь по-новому взглянуть на существующую проблему, выдать базовые материалы, вывести на неизвес­тные источники информации. Общая надежность получае­мых при этом данных чаще всего высшая.

б) «Внутренний информатор (осведомитель)» — чело­век из группировки противника (конкурента), завербованный и поставляющий информацию по материальным, моральным и другим причинам. Ценность представляемых им данных существенно зависит от его возможностей и мо­тивов выдавать нужные сведения, достоверность которых при соответствующем контроле может быть довольно высокой.

в) «Горячий информатор» - любой знающий человек из сторонников противника или его контактеров, проговаривающий информацию под влиянием активных методов воздействия в стиле жесткого форсированного допроса, пытки, гипноза, шантажа и т. д. Так как истинность сооб­щения в данном случае не гарантирована, такая импровизация приемлема лишь в период острой необходимости, когда нет времени, желания или возможностей «нянчиться» с другими источниками. В отличие от завербованного информатора личностный контакт здесь главным образом одномоментен.

г) «Внедренный источник» — свой человек, тем или иным манером просочившийся в окружение объекта (че­ловека, группы, организации). Ценность поставляемых им данных зависит от его индивидуальных качеств и достиг­нутого уровня внедрения.

д) «Легкомысленный информатор (болтун)» — чело­век противника, контактер или любое информированное лицо, проговаривающее интересные факты в деловой, дружеской, компанейской либо интимной беседе. Промель­кнувшее случайно сообщение может быть необычайно ценным, хотя не исключены как беспечная ложь, так и намеренная дезинформация.

е) «Контактеры» — люди, когда-либо контактировавшие с изучаемым человеком (группой, организацией). Это могут быть стабильные или случайные деловые партнеры, родственники и приятели, служащие сервиса и т. д. Наряду с сообщением определенных фактов, они могут содейство­вать в подходе к изучаемому человеку или же участвовать в прямом изъятии у него интересующей злоумышленника информации.

ж) «Союзник» — человек либо общественная, госу­дарственная или криминальная структура, выступающая как противник или «надзиратель» объекта. Уровень и на­дежность отдаваемых материалов зависят от насущных интересов, личных взаимоотношений и познаний источника. Кроме совершенно новой, он способен передать и подтверждающую информацию.

з) «Случайный источник» — человек, совершенно не рассматриваемый как потенциальный информатор, вдруг оказывающийся носителем уникальной информации. Ввиду явной непредсказуемости на такого человека не особенно рассчитывают, но, случайно обнаружив, разрабатывают до конца.

3. По времени действия:

а) в процессе функционирования системы (во время работы компонентов системы);

б) в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерыве для обслуживания и ремонта и т. п.);

в) как в процессе функционирования, так и в период неактивности компонентов системы.

4. По месту действия:

а) без доступа на контролируемую территорию организации;

б) с контролируемой территории без доступа в здания и сооружения;

в) внутри помещений, но без доступа к техническим средствам;

г) с рабочих мест конечных пользователей (операторов);

д) с доступом в зону данных (баз данных, архивов и т.п.);

е) с доступом в зону управления средствами обеспечения безопасности.

Таким образом, рассмотрев модель потенциального нарушителя, можно сделать вывод, что человек является важным звеном системы и главным источником информации.