Тема 1.4.  КЛАССИФИКАЦИЯ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ

     Известно, что информация передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом. Но ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником.

     Основываясь на этом, можно утверждать, что по физической природе возможны следующие средства переноса информации:

  • световые лучи;

  • звуковые волны;

  • электромагнитные волны;

  • материалы и вещества.

     Используя в своих интересах те или иные физические поля, человек создает определенную систему передачи информации. Такие системы принято называть системами связи. Любая система связи (система передачи информации) состоит из источника информации, передатчика, канала передачи информации, приемника и получателя сведений. Эти системы используются в повседневной практике в соответствии со своим предназначением и являются официальными средствами передачи информации, работа которых контролируется с целью обеспечения надежной, достоверной и безопасной передачи информации, исключающей неправомерный доступ к ней со стороны конкурентов. Однако существуют определенные условия, при которых возможно образование системы передачи информации из одной точки в другую независимо от желания объекта и источника.

     При этом, естественно, такой канал в явном виде не должен себя проявлять. По аналогии с каналом передачи информации такой канал называют каналом утечки информации (рис. 1).

Каналы утечки информации – методы и пути утечки информации из информационной системы; паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой.

Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Движение информации в таком канале осуществляется только в одну сторону — от источника к злоумышленнику.

 

Все каналы утечки данных можно разделить на косвенные и прямые.

Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Примеры косвенных каналов утечки:

  • Кража или утеря носителей информации, исследование не уничтоженного мусора;

  • Дистанционное фотографирование, прослушивание;

  • Перехват электромагнитных излучений.

 

Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы. Примеры прямых каналов утечки:

  • Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

  • Прямое копирование.

 

Каналы утечки информации по физическим свойствам и принципам функционирования:

  • акустические — запись звука, подслушивание и прослушивание;

  • акустоэлектрические - получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания;

  • виброакустические - сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

  • оптические — визуальные методы, фотографирование, видео съемка, наблюдение;

  • электромагнитные — копирование полей путем снятия индуктивных наводок;

  • радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации “закладных устройств”, модулированные информативным сигналом;

  • материальные — информация на бумаге или других физических носителях информации.

Разнообразие каналов утечки информации, говорит о том, что бороться со злоумышленниками и со случайными утечками информации, связанными с человеческим фактором или иными обстоятельствами возможно только применив такое же многообразие мер направленных на предотвращение таких угроз. В свою очередь, меры правового, организационного, технического характера составят систему защиты информации.

    При обеспечении информационной безопасности успех может быть эффективным только при применении комплексного подхода. Выше было отмечено, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

  • законодательного;

  • административного (приказы, распоряжения, политики и другие организационные действия руководства организаций, связанных с защищаемыми информационными ресурсами);

  • процедурного (меры безопасности, ориентированные на персонал);

  • программно-технического;

  • физического (комплексная защита помещений, оборудования и персонала).

    Законодательный уровень является важнейшим для обеспечения информационной безопасности. Будем различать на этом уровне две группы мер:

  • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности ("мерами ограничительной направленности");

  • направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

   На практике обе группы мер важны в равной степени, но необходимо подчеркнуть аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами системных администраторов и сотрудников службы безопасности предприятия было бы неправильно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве преступлений связанных с организацией преднамеренной утечки информации без специальной подготовки невозможно.

Список источников:

  1. Ярочкин В.И. Информационная безопасность.

  2. Правовое обеспечение информационной безопасности [Электронный ресурс]. – Режим доступа : https://www.intuit.ru/studies/courses/13845/1242/lecture/27499

НАПИШИТЕ МНЕ

© 2016 Панфилова Т.Б.