до збитків, спричинити за собою передбачену законодавством відповідальність, а також зашкодити репутації за рахунок публікацій у ЗМІ та широкої суспільної розголосу. Загроза - сукупність умов і чинників, що створюють потенційну або реально існуючу небезпеку порушення конфіденційності, доступності та (або) цілісності інформації.
Згідно зі статистикою стосовно до цим загрозам, можна привести такі дані (за результатами досліджень, проведених в Росії компанією InfoWath), представлені на рис. 1.
Малюнок 1 - Загрози інформаційної безпеки в Росії
Як видно, з наведених даних, найбільш поширені крадіжка інформації і шкідливе ПЗ.
Серед внутрішніх загроз безпеці інформації виділяють порушення конфіденційності інформації, спотворення, втрата інформації, збої в роботі обладнання та інформаційних систем, крадіжка обладнання. І знову ж, спираючись на статистику, найбільше поширення мають порушення конфіденційності та спотворення.
Ризик витоку інформації складається з цінності цієї інформації для організації та ймовірності витоку.
Термін витік конфіденційної інформації raquo ;, ймовірно, не самий милозвучна, проте він більш ємко, ніж інші терміни, відображає суть явища. Він давно вже закріпився в науковій літературі, нормативних документах.
Цінність інформації, при загрозі її витоку, визначається на підставі таких критеріїв, як:
наслідки для бізнесу, включаючи істотний збиток для репутації і втрату конкурентних переваг;
вартість необхідних ресурсів і необхідного часу для відтворення інформації;
юридичні наслідки, відповідальність і позови, штрафи і санкції, відкликання ліцензій;
ліквідність інформації - кількість осіб, зацікавлених в отриманні інформації, і зовнішні обмеження для її розповсюдження і використання;
актуальність інформації, вплив часу на її цінність.
Основними джерелами конфіденційної інформації є:
персонал підприємства, допущений до конфіденційної інформації;
носії конфіденційної інформації (документи, вироби);
технічні засоби, призначені для зберігання і обробки інформації;
засоби комунікації, які використовуються з метою передачі інформації;
передані по каналах зв'язку повідомлення, що містять конфіденційну інформацію.
Способи обміну конфіденційною інформацією (наприклад, між співробітниками підприємства) можуть носити як безпосередній (особистий) характер, так і характер передачі формованих на основі інформації повідомлень за допомогою технічних засобів і засобів комунікацій (різних засобів і систем зв'язку).
З існуючих способів обміну конфіденційною інформацією необхідно виділити організаційні канали передачі та обміну інформацією:
конфіденційне діловодство (захищений документообіг);
спільні роботи, що виконуються підприємством за напрямками його виробничої та іншої діяльності;
наради (конференції), в ході яких обговорюються питання конфіденційного характеру;
рекламна та видавнича (публікаторськая) діяльність;
різні заходи в галузі співробітництва з іноземними державами (їх представниками та організаціями), пов'язані з обміном інформацією;
наукові дослідження, діяльність дисертаційних та інших рад установ та організацій;
передача відомостей про діяльність підприємства і даних про його співробітників в територіальні інспекторські і наглядові органи.
Організаційні канали передачі та обміну конфіденційною інформацією в ході їх функціонування можуть бути піддані негативному впливу з боку зловмисників, поданого отримання цієї інформації.
Дана дія, у свою чергу, може призвести до виникнення каналів витоку конфіденційної інформації та вимагати від керівництва підприємства, керівників структурних підрозділів і персоналу вжиття заходів щодо захисту конфіденційної інформації, спрямованих на недопущення її витоку і несанкціонованого розповсюдження (втрати носіїв конфіденційної інформації).
Організаційні канали витоку конфіденційної інформації, що виникають у процесі діяльності підприємства, поділяються таким чином:
за джерелами загроз захищається інформації (зовнішні і внутрішні);
за видами конфіденційної інформації або таємниць (державна, комерційна, службова чи інша таємниця; персональні дані співробітників підприємства);
по джерел конфіденційної інформації (персонал, носії інформації, технічні засоби зберігання і обробки інформації, засоби комунікації, передані або прийняті повідомлення тощо.);
по способам або засобам доступу до інформації, що захищається (застосування технічних засобів, безпосередня і цілеспрямована робота з персоналом підприємства, здійснення безпосереднього доступу до інформації, отримання доступу до інформації, що захищається агентурним шляхом);
за характером взаємодії з партнерами (канали витоку, що виникають у відсу...
