Защита конфиденциальной информации на электронных носителях (Е.Л. Криворучкова, "Кадровая служба и управление персоналом предприятия", N 11, ноябрь 2005 г.)

Защита конфиденциальной информации на электронных носителях

                                          "Я   знаю,   что   это  секрет,

                                          потому что всюду о нем говорят"

                                                           Уильям Конгрив

В наши дни своевременная, полная и достоверная информация ценится на вес золота. При этом любая компания представляет собой потенциальную мишень для компьютерных злоумышленников, которые могут преследовать разные цели, например, получение выкупа с помощью шантажа.

Пример 1

Несколько лет назад один из первоклассных банков выплатил вымогателям 12,5 миллионов фунтов стерлингов. В другой раз некая фирма была вынуждена откупиться от шантажистов 10 миллионами фунтов стерлингов.

Во всех перечисленных случаях компьютерные злодеи угрожали высшим руководителям и демонстрировали имеющиеся у них возможности разрушить компьютерную систему. Все жертвы уступали требованиям вымогателей и через несколько часов переводили деньги на счета банков, располагающихся в оффшорных зонах, откуда злоумышленники снимали их в считанные минуты.

На этапе подготовки операции шантажисты, действуя под видом маркетинговых фирм, проводили опрос руководителей отделов информационных технологий. В ряде случаев просили заполнить анкеты.

Некоторые мошенники даже устраивались на временную работу в организации-жертвы и добывали необходимые сведения, сидя на рабочем месте.

Вооруженные полученной информацией, злоумышленники взламывали системы безопасности и оставляли зашифрованные записки с обещаниями больших неприятностей.

Другой причиной угрозы разглашения информации может быть месть уволенных или недовольных сотрудников. Многие руководители организаций ошибочно полагают, что самыми широкими правами доступа к важным для компании данным обладают только они и их главные бухгалтеры, забывая при этом о существовании системных администраторов. Именно они представляют собой одну из самых больших потенциальных угроз для безопасности организации.

Пример 2

В крупной страховой компании за кражу двух компьютеров и ряда системных программ был уволен системный администратор. При этом компания не предприняла никаких действий для того, чтобы изменить пароли, которые он знал, и не внесла необходимые изменения в средства защиты системы. В результате уволенный сотрудник по-прежнему имел полный доступ ко всем ресурсам сети, даже не находясь физически в здании. Через неделю пользователи начали жаловаться, что они не могут получить доступ к сетевым программам и интернет-ресурсам. Оказалось, что уволенный сотрудник изменил настройки в IP-пакете. К сожалению, не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя он единственный имел доступ к системе администрирования и обладал необходимой квалификацией для совершения таких действий. По этой причине компания не смогла привлечь уволенного сотрудника к уголовной ответственности и возместить понесенный финансовый ущерб.

Пример 3

А вот этот случай произошел в США. Сотрудник сервис-центра компании, работающей в области шоу-бизнеса, был уволен в связи с проникновением в бухгалтерскую программу и увеличением себе заработной платы. Неделей позже все сотрудники организации получили письмо по электронной почте, посланное с адреса президента промышленной группы, в которую входила данная организация. В послании содержалась просьба открыть прикрепленный к нему файл с якобы важной информацией, который на самом деле содержал небольшую программу, удаляющую при запуске все содержимое жесткого диска на машине пользователя. Более 450 сотрудников компании запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. При расследовании выяснилось, что уволенный сотрудник в ходе своей работы старался получить доступ ко всем компьютерам и серверам, использующимся в компании, включая информационные системы отдела кадров, бухгалтерии. Специфика его работы привела к тому, что пользователи сами предоставляли ему информацию о всех именах и паролях, необходимых для доступа ко всем системам организации. В данном случае вина злоумышленника была доказана, и он был приговорен к нескольким месяцам тюремного заключения в федеральной тюрьме.

Угроза от собственных работников?

На основании вышеизложенного можно сделать следующий вывод: угроза взлома компьютерных систем может быть как внешней, так и внутренней.

И если первая исходит от хакеров, кракеров и компьютерных пиратов, то вторая - от персонала организации.

При этом действия сотрудников организации можно подразделить на:

- умышленное причинение вреда компьютерным системам;

- неумышленные ошибки, вызванные небрежностью персонала.

К умышленным действиям сотрудников относятся:

- изменение информации в процессе ввода ее в компьютер;

- кража:

- компьютерного времени,

- программ,

- информации и

- оборудования;

- разработка компьютерных программ для неслужебного пользования;

- изменение компьютерной программы с целью хищения.

Пример 4

Злоумышленник может изменить компьютерную программу таким образом, что при осуществлении операций с денежными средствами происходит округление всех заплаченных клиентами сумм до рублей в меньшую сторону; полученная в результате разница переводится на счет мошенника.

Правовой метод защиты информации

Существующее в нашей стране законодательство предусматривает:

- ответственность за компьютерные преступления,

- защиту авторских прав программистов,

- совершенствование:

- уголовного и

- гражданского законодательства, а также

- судопроизводства.

Среди принятых нормативных актов, регулирующих деятельность в области защиты информации в нашей стране, необходимо выделить следующие:

- Федеральный закон N 24-ФЗ от 20 февраля 1995 года "Об информации, информатизации и защите информации";

- Федеральный закон N 98-ФЗ от 29 июля 2004 года "О коммерческой тайне";

- Указ Президента Российской Федерации N 188 от 6 апреля 1997 года "Об утверждении перечня сведений конфиденциального характера";

- Постановление Правительства РСФСР N 35 от 5 декабря 1991 года "О перечне сведений, которые не могут составлять коммерческую тайну".

- Гражданский кодекс Российской Федерации.

В Указе Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" конфиденциальная информация подразделяется на:

- персональные данные;

- тайну следствия и судопроизводства;

- служебную тайну;

- коммерческую тайну;

- врачебную, нотариальную, адвокатскую тайну, тайну переписки, телефонных переговоров и т.д.

- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

К коммерческой и служебной тайнам относится информация, которая, в соответствии со статьей 139 Гражданского кодекса Российской Федерации, "имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности".

Согласно статье 4 Федерального закона "О коммерческой тайне" обладатель коммерческой тайны вправе самостоятельно определять ее перечень и состав. При этом следует учитывать, что согласно Указу Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" ряд сведений не может быть отнесен к коммерческой тайне, даже если работодатель мечтает их засекретить, например:

- о платежеспособности организации;

- о численности, составе работающих, о системе заработной платы, об условиях труда, в том числе об охране труда, о наличии свободных рабочих мест, о показателях производственного травматизма и профессиональной заболеваемости;

- о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

- о нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, а также других нарушениях законодательства РСФСР и размерах причиненного при этом ущерба;

- сведения об участии должностных лиц предприятия в:

- кооперативах,

- малых предприятиях,

- товариществах,

- акционерных обществах,

- объединениях и

- других организациях, занимающихся предпринимательской деятельностью и т.д.

Уголовная ответственность за преступления в сфере компьютерной информации предусмотрена статьей 183 УК РФ, которая называется "Незаконное получение и распространение сведений, составляющих коммерческую тайну", и главой 28 УК РФ "Преступления в сфере компьютерной информации". В частности, к ним относятся:

- неправомерный доступ к компьютерной информации (статья 272 УК РФ);

- создание, использование и распространение вредоносных программ для ЭВМ (статья 273 УК РФ);

- нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Статья 183 УК РФ и статья 272 УК РФ с успехом применяются отечественной судебной системой.

Пример 5

Так, в конце лета 1997 года на российском рынке стали распространяться лазерные компакт-диски с базами данных: абонентов компаний сотовой связи; о недвижимости; о юридических лицах Санкт-Петербурга с указанием подробных сведений об учредителях, виде деятельности и уставном капитале и др. Было выяснено, что директор и заместитель директора "Орлов и К0", а также сотрудник "СПб таксофоны" в результате обобщения конфиденциальной информации, полученной из различных источников, создали и распространили базу данных "Весь Питер", в общей сложности реализовав дисков на сумму более 43 млн. рублей. Они приобрели информацию о номерах и кодах доступа к 1000 голосовым почтовым ящикам, которая продавалась различным гражданам.

В апреле 1999 года Выборгский суд Санкт-Петербурга приговорил директора "Орлов и К0" к 1 году и 3 месяцам лишения свободы в колонии общего режима, а заместителя директора "Орлов и К0" и сотрудника "СПб таксофоны" - к 1 году исправительных работ. И хотя их тут же амнистировали, прецедент был создан.

Несмотря на то, что в нашей стране имеется ряд нормативных документов, принятых с целью создания эффективного механизма защиты конфиденциальной информации, их явно не достаточно. В связи с этим организации желательно разработать свой пакет локальных нормативных актов в который могут входить:

- Положение о служебной и коммерческой тайне.

- Положение о защите персональных данных работников.

- Правила внутреннего трудового распорядка в части работы с компьютером и информацией.

Соответствующий фрагмент Правил внутреннего трудового распорядка может выглядеть следующим образом:

Пример 6

2. Правила работы с компьютером и информацией.

2.1. Запрещается курить, есть и пить рядом с компьютером.

2.2. Запрещается оставлять без присмотра включенные компьютеры. При длительном отсутствии на рабочем месте необходимо выключить или заблокировать компьютер.

2.3. Запрещается сообщать свой пароль другим сотрудникам, не имеющим права доступа к Вашей информации.

2.4. Запрещается использовать пароль, который является Вашим домашним адресом или телефонным номером. Пароль должен состоять из четырех прописных букв и двух цифр.

2.5. Запрещается уничтожать все ненужные документы без помощи специального устройства.

2.6. Запрещается открывать вложенные файлы, полученные от неизвестных адресатов по электронной почте.

2.7. Необходимо регулярно перед началом рабочего дня проверять компьютер на наличие вирусов с помощью обновленной антивирусной программы.

2.8. Регулярно проводить обновление антивирусной базы:

В трудовом договоре целесообразно зафиксировать индивидуальные обязательства работника по охране коммерческой тайны (см. Пример 7).

Пример 7

2. Работник обязан:

2.1. Соблюдать требования по охране коммерческой тайны:

2.1.1. Не разглашать составляющую коммерческую тайну организации информацию, которая станет известна ему по работе.

2.1.2. Выполнять требования локальных нормативных актов организации по обеспечению сохранности коммерческой тайны организации.

2.1.3. Не использовать информацию, составляющую коммерческую тайну организации, для занятия другой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации.

2.1.4. Незамедлительно извещать начальника отдела безопасности о попытках посторонних лиц получить информацию, составляющую коммерческую тайну организации.

2.1.5. Незамедлительно сообщать начальнику отдела безопасности об утрате или недостаче носителей информации, содержащих информацию, составляющую коммерческую тайну организации, а также удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению коммерческой тайны организации, а также о причинах и условиях возможной утечки информации, составляющей коммерческую тайну.

2.1.6. Передать начальнику отдела безопасности в случае расторжения трудового договора все носители информации, составляющие коммерческую тайну организации, которые находились в распоряжении Работника в связи с выполнением служебных обязанностей во время работы в организации.

Принятие в организации указанных внутренних документов и организация эффективной системы контроля за выполнением внутриорганизационных требований по защите информации позволят снизить вероятность утечки конфиденциальной информации и связанные с ней финансовые убытки, наносимые компании.

Е.Л. Криворучкова,

консультант-аналитик "Мастер-аудит"

"Кадровая служба и управление персоналом предприятия", N 11, ноябрь 2005 г.