Классификация конфиденциальной информации как объекта защиты

⇐ ПредыдущаяСтр 22 из 31Следующая ⇒

№№ п.п.	Классификационный признак	Состав информации
1.	По характеру информации	Ø информация, содержащую клиентскую тайну (см. выше); Ø информация, содержащую коммерческую тайну, т.е. сведения, разглашение которых способно нанести ущерб интересам самой организации
2.	По содержанию информации	Ø политическая информация, например, отсутствующие в открытых источниках сведения об ожидаемых изменениях политической ситуации, законодательства, других политических факторах, способных повлиять на рыночное положение организации или ее контрагентов; Ø экономическая информация, например, отсутствующие в открытых источниках сведения об экономической ситуации в конкретных регионах и отраслях; Ø финансовая информация, например, отсутствующие в открытых источниках сведения о финансовом состоянии клиентов и других партнерах; Ø коммерческая информация, например, результаты проведенного специалистами организации анализа соответствующих рынков или его планы их освоения; Ø технологическая информация, например, сведения об уже разработанных, но еще не внедренных организацией новых технологиях; Ø управленческая информация, например, сведения об используемых организацией методах управления по конкретным направлениям собственной деятельности
3.	По используемому носителю информации	Ø информация в устном виде, например, сведения, обсуждаемые в процессе делового совещания; Ø информация на бумажных носителях, т.е. традиционная форма документов, используемых организацией; Ø информация в электронном виде, т.е. компьютерные базы данных, а также сведения, передаваемые по компьютерным коммуникациям или телефонным сетям (приоритетный объект защиты в современных условиях)
4.	По степени секретности информации[10]	Ø абсолютно конфиденциальная информация, содержащая секретные сведения, разглашение которых способно нанести ущерб стратегического характера; Ø строго конфиденциальная информация, содержащая особо секретные сведения; Ø конфиденциальная информация, содержащая секретные сведения; Ø информация для служебного пользования, содержащая наименее секретные сведения, не предназначенные лишь для открытой печати

ПРИМЕЧАНИЕ: При обеспечении собственной информационной безопасности наряду с Законами РФ «О государственной тайне» и «О коммерческой тайне» организации руководствуются в своей деятельности и другим законодательным актом - Законом РФ «Об информации, информационных технологиях и защите информации».

Типовые формы и методы реализации угроз информационной

Безопасности организации с участием ее персонала

Субъектами угрозинформационной безопасности организации, рассматриваемых в данной теме, выступают ее собственные сотрудники, которые могут действовать как по собственной инициативе, так и под влиянием сторонних для организации третьих лиц (мотивы и формы реализации угроз со стороны которых, рассматривались в теме 3 Учебника).

формы реализации угроз информационной безопасности организации очень разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им.

Одной из наиболее опасных форм утечки выступает перехват конфиденциальной информации , в результате которого у субъекта угрозы оказывается ее дубликат. Особая опасность этой угрозы для пострадавшей организации заключается в том, что о самом факте утечки она, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута.

ПРИМЕР: Так, передача конкуренту научно-технической документации о перспективном продукте, подготовленном к массовому производству, позволит ему в опережающем темпе выйти на рынок с этим продуктом. Естественно, что о подобной утечке пострадавшая организация узнает только после появления продукции конкурентов на соответствующем рынке. Результатом станут как прямые финансовые потери в форме затрат на осуществление пионерных разработок, так и ухудшение рыночных позиций в форме утери соответствующего сегмента рынка. Доказать свое авторство и компенсировать нанесенный ущерб пострадавшая организация сможет только в том случае, если соответствующие разработки были предварительно защищены специальным патентом.

Перехват информации нелояльным сотрудником организации может осуществляться с использованием разнообразных методов – путем простого подслушивания разговоров коллег по работе, использования технических средств (подслушивающих устройств), копирования конфиденциальных документов или электронных баз данных. В дальнейшем сотрудник может использовать перехваченную информацию для достижения различных целей:

Ø передачи ее третьему лицу, исполняя принятые на себя обязательства;

Ø инициативной продажи ее заинтересованным третьим лицам;

Ø безвозмездной инициативной передачи ее третьему лицу из соображений личной мести работодателю.

Второй формой утечки является прямое хищение конфиденциальной информации , в результате которого субъект угрозы одновременно решает две задачи – приобретает соответствующие сведения и лишает их атакуемую организацию. Специфика рассматриваемой угрозы заключается в том, что объектом хищения может стать не только конфиденциальная, но и вполне открытая информация, необходимая ее собственнику для нормального функционирования. Утеря такой информации может привести:

Ø к финансовым потерям в форме дополнительных затрат на восстановление утраченной информации (например, базы данных о клиентах);

Ø к имущественным потерям, в том числе – стратегического характера (например, в случае похищения подкупленным сотрудником документов, подтверждающих право собственности организации на те или иные имущественные комплексы, ставшие объектами рейдерского захвата);

Ø к нарушению функционирования системы внутрифирменного менеджмента (например, в случае хищения бухгалтерских документов).

Распространенной формой угрозы является повреждение или уничтожение конфиденциальной информации , в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемой организации. В отношении электронных баз данных подобную операцию может провести нанятый конкурентами хакер. Однако намного проще склонить к проведению акта умышленного саботажа одного из допущенных к этой информации сотрудников организации. В отечественных условиях более распространенной причиной сознательного уничтожения информации выступают соображения личной мести работодателю.

ПРИМЕЧАНИЕ: Не случайно руководители большинства российских организаций еще в прошлом десятилетии освоили простое правило увольнения сотрудников бухгалтерии и некоторых других должностных лиц, допущенных к важной информации. После объявления им соответствующего решения, на свое рабочее место они допускаются только в сопровождении сотрудника службы безопасности или непосредственного руководителя на время, необходимое для сбора личных вещей. В целях соблюдения требований действующего трудового законодательства[11] сотруднику выплачивается компенсация в размере трехдневного должностного оклада. Подобная процедура исключает возможность уничтожения или хищения документов работодателя обиженным на свое увольнение сотрудником.

Наконец, наиболее сложной по технике исполнения формой рассматриваемой угрозы является искажениенелояльным сотрудником конфиденциальной информации. В результате специалисты атакованной организации могут принять изначально ошибочное управленческое решение.

ПРИМЕР: Так, умышленные искажения могут вноситься в аналитические отчеты, касающиеся, например, деятельности конкурентов организации. В результате их рыночные возможности могут оказаться заниженными или, напротив, преувеличенными. Опираясь на фальсифицированные сведения, маркетологи могут принять ошибочные решения в области конкурентной политики организации. Еще большую опасность влечет искажение финансовой документации.

В приведенной ниже таблице отражены результаты классификации угроз информационной безопасности организации со стороны собственного персонала.

Таблица 16

Дата добавления: 2019-09-13; просмотров: 659; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 17 18 19 20 212223 24 25 26 Следующая ⇒

Мы поможем в написании ваших работ!