Home Журнал «Солдат удачи» Солдат удачи №009 Война объявлена. Защищайтесь!

Авторизация



Война объявлена. Защищайтесь! PDF Печать E-mail
Автор: Александр Поволоцкий   
24.06.2011 08:35

 

Фото Владимира Виноградова

От редакции. Это первая статья из серии, посвященной вопросам технической безопасности бизнеса в России — от безопасности здания до личной безопасности предпринимателя.

Если вы этого еще не знали, то знайте: по всей стране полным ходом идет «тихая» война с использованием противниками технических средств съема информации, которые позволяют быть в курсе самых секретных переговоров конкурентов, объектов будущих преступлений или знать о планах служб безопасности или предстоящих операциях правоохранительных органов. На передовой линии этой войны — группы «интеллектуальных боевиков» под руководством бывших сотрудников закрытых лабораторий и конструкторских бюро КГБ или МВД. Их значительный интеллектуальный потенциал в сочетании с большими финансовыми возможностями современных отечественных «работодателей» позволяет закупать или разрабатывать практически любые средства шпионажа. А бесконтрольный современный рынок предлагает искушенному потребителю любую «игрушку» по каталогам известных фирм (SIPE, РК Electronic International, ЗМ Security). Активно начинают осваивать российский рынок и «умельцы» из ближнего зарубежья (например, украинская фирма «RV-Вече»).

Пока государство ломает голову, как еще помешать рядовому гражданину защитить себя, свою семью и собственность с помощью простенького газового «Вальтера», гораздо более опасные для общества spy-товары — вплоть до систем прослушивания помещений с использованием сетей электропитания — продаются так же свободно, как хлеб. Сплошь и рядом это действительно образцы «...атакующей спецтехники высокого качества по низким ценам», как напечатано в одном из проспектов. Вопрос времени и денег, но при желании можно найти и вовсе уникальные разработки, типа так называемых «радиокапсул» размером не более рисового зернышка. Современная элементная база позволяет создавать микропередатчики не только в лабораторных условиях, но и дома. Отечественная спецтехника проигрывает западной в дизайне, зато имеет существенно меньшую стоимость, а по своим характеристикам не только не уступает зарубежной, но часто во многом превосходит ее.

Производителей spy-техники в России немного (достойных упоминания — около или чуть больше десятка). Это было нетрудно заметить на выставке «Охрана и безопасность», прошедшей в прошлом году в Санкт-Петербургской Гавани. На стендах большинства торгующих спецтехникой российских фирм были практически одни и те же товары, но в широком ассортименте. Возможность использования любым человеком миниатюрной или субминиатюрной spy-техники стала очевидной, и, чтобы сохранить свои личные или фирменные интересы, как зарубежные, так и российские предприятия вынуждены защищаться. Организация защиты требует значительных затрат, и это должен понимать любой предприниматель. Так, в Швейцарии на защиту коммерческих секретов и фирменную безопасность предпринимателями тратится до трех процентов производственных затрат, а в некоторых организациях России, по сведениям автора, уровень этих затрат достигает 15 процентов. Отсутствие государственной защиты обходится очень дорого.

Защита каждого объекта, а также подход к ее построению — дело индивидуальное. Некоторые фирмы создают «конкурирующие информационные группы» и используют метод игр. Группой нападения управляет глава службы сбора разведывательной информации фирмы. Задача этой группы — собрать как можно больше полезной информации о «конкуренте». Группой обороны руководит глава службы безопасности. Задача этой группы — блокирование всех несанкционированных попыток получить информацию, являющуюся собственностью фирмы. Наблюдателем при игре выступает обычно юрисконсульт фирмы, который следит, чтобы группы нападения и обороны действовали достаточно агрессивно, но в рамках закона.

Другие фирмы предпочитают планомерный подход к организации эффективной системы защиты. Прежде всего, необходимо построить модель угроз безопасности офиса и его информационных ресурсов, а также классифицировать эти угрозы. При этом угрозы делят на осуществимые при физическом проникновении на объект и осуществимые при использовании технических средств за пределами зоны безопасности. Далее определяют основные каналы утечки информации (здесь вы можете дать волю своей фантазии — все равно вы не сможете учесть все уязвимые места). На основании изучения доступного рынка спецсредств, а также вашего представления об уязвимости объекта, офиса, системы обработки и хранения информации, строится модель вероятного нарушителя.

На анализе риска, ресурсов, подлежащих защите, возможных угроз, важности информации, каналов утечки, гипотетической стратегии и тактики действий нарушителя и строится ваша контрсистема. Результатом сравнения по критерию эффективность/стоимость должен стать подбор оптимальных средств и методов защиты.

Следует подчеркнуть, что абсолютной защиты не бывает, и можно говорить только о степени защищенности предпринимателя. Весь вопрос — в соотношении сил и средств, затраченных противником и предпринимателем на решение своих диаметрально противоположных задач. Первым шагом выработки концепции защиты коммерческого объекта является определение и оценка степени угроз. Можно выделить, в общих чертах, следующие угрозы безопасности предприятия:

1. Чрезвычайные обстоятельства: стихийные бедствия; пожар; технологические аварии.

2. Физическое проникновение на объект посторонних (преступных) лиц с целью: грабежа; съема (похищения) информации; разрушения объекта.

3. Несанкционированное получение информации: с помощью персонала; с помощью специальных технических средств; с использованием паразитных технических каналов утечки информации.

4. Личная угроза предпринимателю, персоналу, посетителям. Наиболее вероятными источниками угроз и утечки конфиденциальной информации могут быть: персонал объекта и посетители; используемые на объекте бытовые технические средства (теле- и аудиоаппаратура, кондиционеры, осветительные приборы и т. д.); вычислительная техника; средства связи; носители информации.

Доступ к фирменным секретам противник может получить различными способами: подкупом или шантажом персонала; хищением; фото-, кино- и телевизионной съемкой (в том числе и в ночное время) образцов, документов, и т. д.; перехватом с помощью лазерных или инфракрасных систем съема информации; получением информации за счет побочных электромагнитных излучений вычислительной техники и других электронных средств; перехватом телефонных и факсимильных сообщений за счет несанкционированного подключения к линиям связи; подслушиванием разговоров в контролируемом помещении с помощью специальных микрофонов или на улице с помощью направленных микрофонов.

Важным этапом анализа риска является оценка ожидаемых потерь от удачной реализации угрозы. Некоторые оценки могут быть сделаны достаточно просто, но в целом оценка конечной стоимости утечки информации — сложная задача. При определении возможных потерь необходимо учитывать два фактора: непосредственную стоимость утраченной информации (включая потерянную выгоду); стоимость восстановления информации (если она будет восстанавливаться) или нейтрализации последствий ее утраты. Выбор средств защиты объекта или предпринимателя основывается именно на анализе потерь, последствий и их предотвращения по критерию эффективность/стоимость.

Последний этап анализа риска — оценка реальных затрат на создание системы безопасности и выигрыша от реализации этой системы. При рассмотрении способов создания комплексных систем безопасности необходимо более подробно анализировать системы и средства промышленного шпионажа и контршпионажа, систем защиты объекта (охранная сигнализация, замкнутые системы телевидения, системы контроля доступа, и т. д.). Этим вопросам будут посвящены наши следующие материалы.

 

Обновлено 24.06.2011 08:48
 
 
Рейтинг@Mail.ru

Яндекс.Метрика