Систематизированный перечень угроз информационной безопасности
Современной организации
| №№ п.п. | Объект угрозы | Форма реализации угрозы |
| 1. | Информация на электронных носителях | Ø несанкционированное проникновение в защищенные базы данных с использованием специальных хакерских программ с целью последующего копирования или искажения накопленных сведений; Ø копирование или искажение электронных баз данных, к которым у нелояльного сотрудника имеется санкционированный доступ; Ø передача третьему лицу паролей и кодов доступа к конфиденциальным электронным базам данных; Ø повреждение или уничтожение электронных баз данных с использованием компьютерных вирусов; Ø подключение к компьютерам организации специальных электронных устройств или использование специальных программ (типа «Троянский конь»), позволяющих копировать и передавать по электронной почте соответствующие данные; Ø нарушение правил работы с конфиденциальной информацией в электронной форме, позволяющее заинтересованным лицам (нелояльным коллегам по работе, посетителям офиса организации и т.п.) получить к ней несанкционированный доступ |
| 2. | Информация на бумажных носителях | Ø копирование документов; Ø хищение документов; Ø искажение документов; Ø уничтожение документов; Ø нарушение правил работы с конфиденциальными документами, позволяющее заинтересованным лицам получить к ним несанкционированный доступ |
| 3. | Устная информация | Ø подслушивание информации без использования технических средств; Ø выведование информации у коллег по работе; Ø установка стационарных или временных подслушивающих устройств; Ø устное разглашение доверенной информации в силу злого умысла; Ø отключение технических средств защиты устной информации от подслушивания (со злым умыслом или в силу простой безответственности); Ø нарушение правил работы с конфиденциальной информацией в устной форме, позволяющее заинтересованным лицам получить к ней несанкционированный доступ |
Вероятность практической реализации различных форм угроз утечки конфиденциальной информации по вине сотрудников организации отражает приведенная ниже таблица[12].
|
|
|
Таблица 17
Ранжированный по вероятности перечень форм реализации угрозы
Утечки конфиденциальной информации по вине сотрудников
| №№ п.п. | Формы реализации угрозы | Вероятность реализации угрозы (в %) |
| 1. | Болтливость сотрудников в процессе неформального общения с коллегами по работе и знакомыми вне ее | 32 |
| 2. | Коммерческий подкуп сотрудников | 24 |
| 3. | Отсутствие контроля со стороны службы безопасности | 14 |
| 4. | Нарушение правил обмена информацией с коллегами по работе | 12 |
| 5. | Бесконтрольное использование компьютерной и копировальной техники, установленной в офисе | 10 |
| 6. | Инициативный «слив» информации из соображений личной мести работодателю, руководителю, коллегам | 8 |
|
|
|
В современных условиях наибольшую угрозу представляет покушения на безопасность информации в электронном виде. Большинство организаций хранит основной объем информации именно на электронных носителях, которые могут стать объектом атаки со стороны не только сторонних хакеров, но и собственных нелояльных сотрудников. Для этого они могут воспользоваться для этого самыми различными методами, что отражено на представленном ниже рисунке.
Рис. 5. Основные методы реализации угроз безопасности
Компьютерной информации.
ПРИМЕР: Так, завербованный конкурентом сотрудник может передать конфиденциальную информацию на внешние почтовые или файловые сети Интернет, а затем загрузить ее оттуда, находясь дома или в Интернет-кафе (что для него более безопасно). Для передачи информации он может использовать протоколы SMTP, HTTP, FTP или любой другой протокол в зависимости от настроек фильтрации исходящих пакетов данных. С целью маскировки своих действий данный сотрудник имеет возможность предварительно зашифровать отправляемую информацию или передать ее под видом стандартных графических и видео-файлов с помощью методов стенографии.
|
|
|
Распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих в организации требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах. Подобные нарушения являются следствием проявления одной из характерных черт национального трудового менталитета россиян, уже рассмотренного в первой теме Учебника. При отсутствии в организации эффективной системы мониторинга соблюдения персоналом соответствующих правил и развитой системы санкций за их нарушение, угрозы неумышленной утечки информации быстро приобретают массовый характер.
Наиболее распространенными формами реализации рассматриваемой угрозы выступают:
В отношении информации на электронных носителях:
Ø запись паролей и кодов доступа в настольном календаре, на задней части монитора или нижней панели клавиатуры компьютера;
|
|
|
Ø игнорирование требования о выходе из «закрытого» каталога или отключении компьютера при необходимости покинуть рабочее место даже на несколько минут;
Ø использование собственных дискет или CD дисков с переносом информации из них в рабочий компьютер (угроза занесения вируса);
Ø разрешение клиенту или другому постороннему лицу воспользоваться компьютером, содержащим закрытую информацию;
Ø передача конфиденциальных данных по электронной почте на домашний адрес или копирование на собственный носитель (флешку, CD диск) с последующим их выносом из здания организации для работы в домашних условиях.
В отношении информации на бумажных носителях:
Ø игнорирование требования о перемещении конфиденциальных документов в сейф или закрывающийся на замок ящик при необходимости покинуть рабочее место;
Ø запись шифра замка сейфа в записной книжке, настольном календаре и т.п., а также хранение ключей в доступном для посторонних месте;
Ø вынос конфиденциальных документов из здания организации для работы с ними в домашних условиях.
В отношении информации в устной форме:
Ø игнорирование требования о проведении конфиденциальных переговоров только в специально предназначенных для этого помещениях;
Ø обсуждение конфиденциальной информации с не допущенными к ней лицами (коллегами по работе, родственниками, друзьями);
Ø нарушение работоспособности технических средств, обеспечивающих защиту устной информации (например, не включение генератора помех в защищенном от прослушивания помещении);
Ø использование не защищенных каналов связи в процессе телефонных переговоров.
ПРИМЕЧАНИЕ: Показательно, что вероятность рассматриваемых нарушений возрастает пропорционально повышению должностного статуса сотрудника. Ведущие менеджеры и специалисты организации, осознавая свою ценность для работодателя, склонны игнорировать требования службы безопасности в большей степени, нежели рядовые исполнители, опасающиеся применения к ним установленных санкций.
Дата добавления: 2019-09-13; просмотров: 411; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!