Загрози конфіденційної інформації

Усі інформаційні ресурси фірми постійно піддаються об'єктивним та суб'єктивним загрозам втрати носія або цінності інформації.
Під загрозою,абонебезпекою, втрати інформації розуміється одиничний або комплексний, реальний або потенційний, активний або пасивний прояв несприятливих можливостей зовнішніх або внутрішніх джерел загрози створювати критичні ситуації, події, надавати дестабілізуючий вплив на інформацію, документи і бази даних, що підлягають захисту.

Ризик пошкодження дестабілізуючого впливу будь-яким (відкритим і обмеженого доступу) інформаційним ресурсам створюють стихійні лиха, екстремальні ситуації, аварії технічних засобів і ліній зв'язку, інші об'єктивні обставини, а також зацікавлені і незацікавлені у виникненні загрози особи. До загроз, що створюються цими особами, відносяться: несанкціоноване знищення документів, прискорення згасання (старіння) тексту або зображення, підміна або вилучення документів, фальсифікація тексту або його частини та ін.

Для інформаційних ресурсів обмеженого доступу діапазон загроз, які передбачають втрату інформації (розголошення, витік) або втрату носія, є значно ширшим в результаті того, що до цих документів проявляється підвищена зацікавленість зі сторони зловмисників.

Під зловмисником розуміється особа, яка діє в інтересах конкурента, супротивника або в особистих корисливих інтересах (агентів іноземних спецслужб, промислового та економічного шпигунства, кримінальних структур, окремих злочинних елементів, осіб, які співпрацюють зі зловмисником, психічно хворих осіб і т. п.).

На відміну від об'єктивного поширення втрата інформації тягне за собою незаконний перехід конфіденційних відомостей, документів до суб'єкта, який не має права володіння ними і використання у своїх цілях.
Основною загрозою безпеки інформаційних ресурсів обмеженого поширення є несанкціонований (незаконний, недозволений) доступ зловмисника чи сторонньої особи до документованої інформації і як результат – оволодіння інформацією і протиправне її використання або вчинення інших дестабілізуючих дій.

Під сторонньою особою розуміється будь-яка особа, яка не має безпосереднього відношення до діяльності фірми (працівники інших організаційних структур, працівники комунальних служб, екстремальної допомоги, перехожі, відвідувачі фірми), а також співробітники цієї фірми, що не володіють правом доступу до певних приміщень, до конкретного документу, інформації, баз даних.

Цілями і результатами несанкціонованого доступу може бути не тільки оволодіння цінними відомостями і їх використання, а й їх видозміна, модифікація, знищення, фальсифікація, підміна і т. п.

Обов'язковою умовою успішного здійснення спроби несанкціонованого доступу до інформаційних ресурсів обмеженого доступу є інтерес до них з боку конкурентів, певних осіб, служб та організацій. При відсутності такого інтересу загроза інформації не виникає навіть у тому випадку, якщо виникли передумови для ознайомлення з нею сторонньої особи. Основним винуватцем несанкціонованого доступу до інформаційних ресурсів є, як правило, персонал, що працює з документами, інформацією та базами даних. При цьому треба мати на увазі, що втрата інформації відбувається в більшості випадків не в результаті навмисних дій зловмисника, а через неуважність і безвідповідальність персоналу. Отже, втрата інформаційних ресурсів обмеженого доступу може настати при:

- наявності зацікавленості конкурентів, установ, фірм або осіб до конкретної інформації;

- виникненні ризику загрози, організованої зловмисником, або при випадкових обставинах;

- наявності умов, що дозволяють зловмисникові здійснити необхідні дії і оволодіти інформацією.

Ці умови можуть включати:

- відсутність системної аналітичної та контрольної роботи з виявлення та вивчення загроз, каналів і ступеня ризику порушень безпеки інформаційних ресурсів;

- неефективну систему захисту інформації або відсутність цієї системи, що утворює високий ступінь уразливості інформації;

- не професійно організовану систему обробки і зберігання конфіденційних документів;

- невпорядкований підбір персоналу і плинність кадрів, складний психологічний клімат у колективі;

- відсутність системи навчання працівників правилам захисту інформації обмеженого доступу;

- відсутність контролю зі сторони керівництва фірми за дотриманням персоналом вимог нормативних документів по роботі з інформаційними ресурсами обмеженого доступу;

- безконтрольне відвідування приміщень фірми сторонніми особами.

Слід завжди пам'ятати, що факт документування різко збільшує ризик загрози несанкціонованого використання інформації. Великі майстри минулого ніколи не записували секрети свого мистецтва, а передавали їх усно синові, учневі. Тому таємниця виготовлення багатьох унікальних предметів того часу так і не розкрита до наших днів. Отже, загрози конфіденційній інформації завжди реальні, відрізняються великою різноманітністю і створюють передумови для втрати інформації. Джерела загроз інформації фірми необхідно ґрунтовно вивчати. Оскільки, без цього не можна професійно побудувати систему захисту інформації.