Оперативная деятельность и вопросы конспирации в работе спецслужб. Т. 6 - Анатолий Евгеньевич Ивахин
В системах с программируемой схемой защиты предусматривается механизм защиты данных с учетом специфических требований пользователя: ограничение календарного времени работы системы, доступ только к средним значениям файла данных, локальная защита отдельных элементов массива данных и т. д. В таких системах пользователь должен иметь возможность выделить защищаемые объекты и подсистемы. Защищаемая подсистема представляет собой совокупность программ и данных, правом доступа к которым наделены лишь входящие в подсистему программы. Программы подсистемы контролируют доступ к защищаемым объектам. Возможно применение программных шифраторов. Учитывая высокую криптостойкость современных шифров, это даст возможность ликвидировать такие каналы утечки, как копирование информации, хищение носителей и несанкционированный доступ к секретным файлам.
Важной областью применения криптографических методов является защита баз данных. К ним предъявляются следующие дополнительные требования:
— из-за возможности чтения и возобновления записей с середины файлов, шифрование и расшифровка каждой записи должны производиться независимо от других записей;
— во избежание перегрузки системы вспомогательными преобразованиями, все операции с файлами нужно проводить, когда содержащиеся в них данные представлены в зашифрованном виде. Безопасность данных может обеспечиваться следующей системой мероприятий:
— объекты данных идентифицируются и снабжаются информацией службы безопасности. Целесообразно эту информацию размещать не в отдельном каталоге, а вместе с информацией, имеющей метки;
— кодовые слова защиты размещаются внутри файлов, что в значительной мере повышает эффективность защиты;
— доступ к данным целесообразен с помощью косвенных ссылок в виде списка пользователей, допущенных владельцем файла к размещенным в нем данным;
— данные и программы могут преобразовываться (кодироваться) внутренним способом для хранения;
— информация по отрицательным запросам не выдается;
— повторные попытки доступа после неудачных обращений должны иметь предел;
— при уменьшении конфигурации системы или при ее тестировании функции защиты сохраняются;
— никакие изменения таблиц безопасности, кроме изменения со специального устройства или пульта управления, не разрешаются.
Необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятности экономического ущерба, превышает затраты на ее реализацию.
Комплексная система защиты информации должна отвечать следующим требованиям:
— оперативно реагировать на изменение факторов, определяющих методы и средства защиты информации;
— базироваться на лучших алгоритмах закрытия информации, гарантирующих надежную криптографическую защиту;
— иметь важнейшие элементы идентификации пользователей и контроля подлинности передаваемой и хранимой информации;
— осуществлять защиту от несанкционированного доступа к информации в базах данных, файлах, на носителях информации, а также при ее передаче по линиям связи в локальных и глобальных сетях;
— обеспечивать режим специально защищенной электронной почты для обмена секретной информацией с высокой скоростью и достоверностью передачи информации адресату;
— иметь удобную и надежную ключевую систему, обеспечивающую гарантию безопасности при выработке и распределении ключей между пользователями;
— обеспечивать различные уровни доступа пользователей к защищаемой информации.
Для реализации комплексной системы защиты информации на предприятии или в учреждении должно быть организовано специальное подразделение по охране коммерческой тайны. Состав и функционирование такого подразделения определяются с точки зрения экономической целесообразности и учитывают реальную ценность информации. В уставе предприятия или учреждения должно быть указано, что сведения, составляющие коммерческую тайну этого предприятия или учреждения, являются его собственностью. Должна быть проведена подготовка персонала в плане обучения исполнению своих обязанностей с одновременным выполнением требований по обеспечению защиты сведений, составляющих коммерческую тайну, и предупреждения об ответственности за несоблюдение указанных требований.
Наиболее распространенными правонарушениями в кредитно-финансовой сфере являются:
— выманивание, незаконное получение и нецелевое использование кредитов;
— нарушение налогового законодательства;
— легализация и внедрение преступно нажитых средств в экономику;
— выманивание негосударственными структурами денежных средств населения;
— заключение фиктивных договоров о совместной деятельности, фактически прикрывающих другие сделки;
— фальшивомонетничество и нарушение установленного порядка валютных операций;
— незаконные операций с наличными деньгами.
Выманивание и нецелевое использование кредитов предусматривает:
— выдачу льготных кредитов руководителям предприятий, которые помимо основной производственной деятельности принимают активное участие в совершении коммерческих торгово-посреднических операций;
— создание за границей собственной иностранной фирмы и заключение с ней фиктивных контрактов для получения кредитов в банке;
— нарушение правовых основ отношений банков с клиентами при покупке и продаже ресурсов.
Наиболее распространенными нарушениями в сфере налогообложения являются:
— обналичивание денежных средств через расчетные счета предпринимателей и использование фиктивных договоров;
— занятие безлицензионной деятельностью;
— сокрытие выручки от реализаций продукции путем неотражения ее в бухгалтерских отчетах;
— занижение реальной выручки от реализации продукции;
— невключение в доход выручки от реализации основных средств;
— завышение материальных затрат за счет расходов по льготированной выручке;
— неправильное вычисление удельного веса материальных затрат в выручке от реализации продукции;
— завышение материальных затрат за счет излишнего начисления различных налогов;
— проведение взаиморасчетов без оприходования денежных средств в кассах;
— реализация продукции за наличный расчет без использования кассовых аппаратов;
— занижение НДС по импортным товарам путем его начисления с валового дохода, а не со всего товарооборота;
— приобретение товара у производителя по безналичному расчету, реализация его за наличные и частичное оприходование в кассе.
При участии финансовых органов предприятия для обналичивания применяются:
— фиктивные ссудные договоры между иностранным банком и работником местного банка, в котором расположен корреспондентский счет первого;
— практика наличных форм расчета между партнерами;
— заключение между предприятиями и коммерческими структурами фиктивных договоров, под которые впоследствии коммерсантам перечисляются необходимые для обналичивания денежные средства;
— практика использования «мертвых душ», числящихся работающими, которым выплачивается определенный процент от начисленной зарплаты, а остальные деньги поступают в «черную кассу»;
— снятие наличной валюты со счетов представительства иностранного банка, расположенного на территории страны;
— выдача наличности организациям сверх лимита;
— нарушение кассовой дисциплины.
Состояние счетов банковской клиентуры необходимы для криминальных группировок, чтобы знать сколько можно взять с клиента с учетом платежеспособности последнего.
Система защиты коммерческих секретов должна предусматривать следующие элементы:
— нормы права, направленные на защиту интересов владельцев секретов;
— нормы, устанавливаемые руководством предприятия или организации, владеющего секретами;
— специальные структурные подразделения предприятия или организации, обеспечивающие на практике выполнение этих норм;
— профессионалы, способные в процессе работы решать все необходимые задачи по защите коммерческой тайны.
Первоочередном в организации надежной защиты закрытой информации должна быть работа с кадрами. Эту работу следует начинать с приема человека на работу. Условие сохранения секретов включается в трудовой договор или контракт, заключаемый при приеме на работу. Следующей мерой является ограничение доступа к секретной информации. Работа должна быть организована так, чтобы каждый имел доступ только к той информации, которая необходима ему в ходе выполнения служебных обязанностей. Эта мера не может сама по себе полностью защитить предприятие или организацию от возможной утечки информации.
Для противодействия промышленному шпионажу можно предложить следующие