АНАЛІЗ РИЗИКІВ ВИТОКУ СЛУЖБОВОЇ ІНФОРМАЦІЇ
Сьогодні більшість підприємств використовують багаторівневі системи обробки інформації – комп'ютери, хмарні сховища, корпоративні мережі і т.д. Всі ці системи не тільки передають дані, але і є середовищем їх можливого витоку. Витік інформації – це процес неконтрольованого розголошення ключових для фірми даних, який є серйозною небезпекою [1]. Це може статися в результаті наміру третіх осіб або з необережності самих співробітників. Навмисна організація витоку інформації відбувається з двома цілями: нанесення шкоди державі, суспільству або конкретному підприємству, що більш характерно для проявів кібертероризму; друга – отримання переваги в конкурентній боротьбі, що притаманно промисловому (корпоративному) шпигунству. Хоча ненавмисний витік інформації відбувається найчастіше через необережність співробітників самої організації, це також може призвести до серйозних негативних наслідків. Створення системи захисту інформаційних активів від втрати в компаніях всіх типів повинно здійснюватися на професійному рівні, з використанням сучасних технічних засобів. Для цього необхідно мати уявлення про канали витоку і способи блокування цих каналів, а також про вимоги, що пред'являються до сучасних систем інформаційної безпеки [2].
Захист інформації – це діяльність із забезпечення конфіденційності, цілісності та доступності важливої для особи, суспільства та держави інформації, яка обробляється в інформаційних (автоматизованих), телекомунікаційних або інформаційно-телекомунікаційних системах або озвучується на об’єктах інформаційної діяльності,а також із забезпечення використання інформації у відповідності з встановленими правилами [3, С.11].
Сучасні підходи до аналізу захищеності інформації і побудови систем захисту інформації базуються на методах аналізу та управління ризиками. Ризик – це прогнозована векторна величина збитку, що може виникнути внаслідок прийняття рішень в умовах невизначеності та реалізації загроз [4].
Можна визначити наступні ризики: власний персонал, частота його зміни, масштабні реорганізації роботи компанії, зниження заробітних плат, скорочення співробітників; відрядження (можливість злому або викрадення корпоративних засобів комп’ютерної техніки, на яких зберігається службова інформація компанії, що представляє для конкурентів комерційну цінність); використання єдиного серверу зберігання даних для декількох компаній, що працюють над виконанням спільного проекту; використання складних ІТ-інфраструктур.
Існує кілька дієвих способів, які допоможуть знизити ризик витоку і розголошення інформації. Підприємство може використовувати всі методи захисту або тільки кілька з них, адже система безпеки повинна бути економічно вигідною. Збитки від втрати секретної інформації не можуть бути менше вартості впровадження та підтримки системи безпеки [1]:
1. Шифрування – це простий і дієвий метод захисту комерційної таємниці. Сучасні алгоритми шифрування використовують світові стандарти в області криптографії (шифри AES, ГОСТ), двосторонній обмін ключами, еліптичні криві для генерації захисту. Такий підхід значно утруднює злом шифрованого повідомлення для стандартних комп'ютерів.
2. Контроль персоналу.
Список використаних джерел:
1. Витік даних: як виявити та виправити? URL: https://indevlab.com/uk/blog-ua/vitik-danih-br-yak-viyaviti-ta-vipraviti/
2. Загрози від витоку технічними каналами. Оптимальні параметри перешкод. URL: https://bumotors.ru/uk/1-ugrozy-ot-utechki-po-tehnicheskim-kanalam-optimalnye.html
3. Технічні канали захисту інформації. Порядок створення комплексів технічного захисту інформації. Навчальний посібник. / Іванченко С.О., Гавриленко О.В., Липський О.А., Шевцов О.С. Київ : ІСЗЗІ НТУУ «КПІ», 2016. 104 с.
4. Качинський А.Б. Безпека, загрози і ризик: наукові концепції та математичні методи. Київ, 2003. 472 с.