Информационная безопасность - стр. 20
Утрата информации характеризуется двумя условиями, информация переходит а) непосредственно к заинтересованному лицу – конкуренту, злоумышленнику или б) к случайному, третьему лицу. Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику.
Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
• утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;
• игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;
• излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т. п.);
• работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;
• использования сведений ограниченного доступа в открытых документации, публикациях, интервью, личных записях, дневниках и т. п.;
• отсутствия маркировки (грифования) информации и документов ограниченного доступа (в том числе документов на технических носителях);
• наличия в документах излишней информации ограниченного доступа;
• самовольного копирования сотрудником документов в служебных или коллекционных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно охотятся за конкретной информацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал ее объективного распространения в канал ее разглашения или утечки. Такие каналы всегда являются тайной злоумышленника.
Каналы несанкционированного доступа могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.
Организационные каналы разглашения информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации.
Основными видами организационных каналов могут быть:
• поступление злоумышленника на работу в фирму, как правило, на техническую или вспомогательную должность (оператором ЭВМ, секретарем, дворником, охранником, шофером и т. п.);
• участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;
• поиск злоумышленником сообщника (инициативного помощника), работающего в интересующей его фирме, который становится его соучастником;
• установление злоумышленником доверительных взаимоотношений с сотрудником учреждения, фирмы или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;
• использование коммуникативных связей фирмы – участие в переговорах, совещаниях, переписке с фирмой и др.;