Методы борьбы с инсайдера­ми

В деловом обороте под понятием “инсайдер” (от англ. inside – внутри) понимается любое лицо, имеющее доступ к конфиденциальной информации о делах фирмы благодаря своему служебному положению и родственным связям. Следовательно, инсайдерская информация – информация внутренняя.

В России понятие “инсайдерская информация” было определено только в середине 2010 года. В Законе от 27.07.2010 N 224-ФЗ “О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации” говорится, что под“инсайдерской информацией понимается точная и конкретная информация, которая не была распространена или предоставлена (в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну), распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов, иностранной валюты и (или) товаров (в том числе сведения, касающиеся одного или нескольких эмитентов эмиссионных ценных бумаг (далее – эмитент), одной или нескольких управляющих компаний инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов”. Кроме того, в данном Законе определен перечень лиц, которые осуществляют раскрытие инсайдерской информации.

Если информация имеет коммерческую ценность, она именуется коммерческой тайной. При этом определение “коммерческий” не относится к содержанию этой информации. Информация любого рода может считаться коммерческой, если из нее можно извлечь выгоду. Инсайдерская информация отличается и от служебной тайны, и от коммерческой, и от банковской прежде всего тем, что всякая тайна не может быть достоянием неограниченного круга лиц. А инсайдерская – “подлежит обязательному раскрытию”, но через некоторое, довольно короткое время.

В качестве распространителей инсайдерской информации выступают:

o эмитенты и управляющие компании;

o хозяйствующие субъекты, включенные в реестр и занимающие доминирующее положение на рынке определенного товара;

o организаторы торговли, клиринговые организации, а также депозитарии и кредитные организации, осуществляющие расчеты по результатам сделок, совершенных через организаторов торговли;

o профессиональные участники рынка ценных бумаг и иные лица, осуществляющие в интересах клиентов операции с финансовыми инструментами;

o лица, которые владеют не менее чем 25% голосов в высшем органе управления;

o члены совета директоров;

o федеральные органы исполнительной власти, исполнительные органы государственной власти, Банк России;

o имеющие доступ к инсайдерской информации руководители федеральных органов исполнительной власти;

o информационные агентства, осуществляющие раскрытие или предоставление информации;

o лица, осуществляющие присвоение рейтингов;

o физические лица, имеющие доступ к инсайдерской информации на основании трудовых и гражданско-правовых договоров.

В других законах, например в Законе от 22.04.1996 N 39-ФЗ “О рынке ценных бумаг”, термины “инсайдерская информация” и “манипулирование рынком” понимаются в значении Закона N 224-ФЗ.

Необходимо отметить, что не вся информация, составляющая служебную или коммерческую тайну, относится к инсайдерской. Факт наличия инсайдерской информации еще не является нарушением и посягательством на отношения участников рынка ценных бумаг. Реализовать потенциальную опасность, скрытую в инсайдерской информации, возможно при условии ее использования инсайдером.

В деле борьбы с утечкой инсайдерской информации следует руководствоваться принципом “спасение утопающих – дело рук самих утопающих”. Прежде всего это дело службы внутренней безопасности. Вместе с тем ряд рекомендаций дан Федеральной службой по финансовым рынкам (информационное письмо от 27.01.2011 б/н) – в частности, к мерам защиты относятся:

o разработка и утверждение порядка доступа к инсайдерской информации, правил охраны ее конфиденциальности;

o создание (определение, назначение) структурного подразделения (должностного лица), в обязанности которого входит осуществление контроля;

o обеспечение условий для беспрепятственного и эффективного осуществления созданным (определенным, назначенным) структурным подразделением (должностным лицом) своих функций.

Кроме того, необходимо:

o вести список инсайдеров;

o уведомлять лиц, включенных в список инсайдеров, об их включении в такой список;

o передавать список инсайдеров организаторам торговли, через которых совершаются операции с финансовыми инструментами.

Также необходимо четко определить перечень информации, которая является инсайдерской. Залогом отсутствия фактов ее разглашения является определение порядка доступа к информации, кроме того, лица, имеющие доступ, должны быть ознакомлены с локальными актами, регулирующими доступ к информации, под роспись. Компания также должна обеспечить необходимые организационные и технические условия для соблюдения лицами, имеющими доступ к инсайдерской информации, установленного режима конфиденциальности. Например, необходимо вести журнал учета при работе с конфиденциальной информацией; иметь помещение, предназначенное для работы с конфиденциальной информацией; создать системы обеспечения информационной безопасности (программы защиты информации, коды доступы и пр.). Кроме того, должно быть наличие носителей конфиденциальной информации. Если, например, любой сотрудник компании может использовать флеш-накопитель и имеет доступ к конфиденциальной информации на сетевом ресурсе, то говорить о наказании инсайдера не приходится.

Вопрос 2: Вопросы построения системы распределенной аутентификации типа «запрос-ответ». Система удаленной парольной аутентификации пользователя по схеме ”запрос-ответ”.

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация (Identification) процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация (Authentication) процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Система запрос-ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.

Механизм «запрос-ответ» состоит в следующем. Если пользователь А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент запрос X (например, некоторое случайное число). При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию f (X)). Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий В, пользователь А может быть уверен, что В подлинный. Недостаток этого метода возможность установления закономерности между запросом и ответом.

В семейство протоколов, называемых обычно по процедуре проверки "запрос-ответ", входит несколько протоколов, которые позволяют выполнить аутентификацию пользователя без передачи информации по сети. К протоколам семейства "запрос-ответ" относится, например, один из наиболее распространенных - протокол CHAP (Challenge-Handshake Authentication Protocol).

Процедура проверки включает как минимум четыре шага (рис. 2):

· пользователь посылает серверу запрос на доступ, включающий его логин;

· сервер генерирует случайное число и отправляет его пользователю;

· пользователь шифрует полученное случайное число симметричным алгоритмом шифрования на своем уникальном ключе, результат зашифрования отправляется серверу;

· сервер расшифровывает полученную информацию на том же ключе и сравнивает с исходным случайным числом. При совпадении чисел пользователь считается успешно аутентифицированным, поскольку признается владельцем уникального секретного ключа.

Аутентифицирующей информацией в данном случае служит ключ, на котором выполняется шифрование случайного числа. Как видно из схемы обмена, данный ключ никогда не передается по сети, а лишь участвует в вычислениях, что составляет несомненное преимущество протоколов данного семейства.

Основной недостаток подобных систем аутентификации - необходимость иметь на локальном компьютере клиентский модуль, выполняющий шифрование. Это означает, что, в отличие от протокола PAP, для удаленного доступа к требуемому серверу годится только ограниченное число компьютеров, оснащенных таким клиентским модулем.

Однако в качестве клиентского компьютера может выступать и смарт-карта либо аналогичное "носимое" устройство, обладающее достаточной вычислительной мощностью, например, мобильный телефон. В таком случае теоретически допустима аутентификация и получение доступа к серверу с любого компьютера, оснащенного устройством чтения смарт-карт, с мобильного телефона или КПК.

Протоколы типа "запрос-ответ" легко "расширяются" до схемы взаимной аутентификации (рис. 3). В этом случае в запросе на аутентификацию пользователь (шаг 1) посылает свое случайное число (N1). Сервер на шаге 2, помимо своего случайного числа (N2), должен отправить еще и число N1, зашифрованное соответствующим ключом. Тогда перед выполнением шага 3 пользователь расшифровывает его и проверяет: совпадение расшифрованного числа с N1 указывает, что сервер обладает требуемым секретным ключом, т. е. это именно тот сервер, который нужен пользователю. Такая процедура аутентификации часто называется рукопожатием.

Как видно, аутентификация будет успешна только в том случае, если пользователь предварительно зарегистрировался на данном сервере и каким-либо образом обменялся с ним секретным ключом.

Заметим, что вместо симметричного шифрования в протоколах данного семейства может применяться и асимметричное шифрование, и электронная цифровая подпись. В таких случаях схему аутентификации легко расширить на неограниченное число пользователей, достаточно применить цифровые сертификаты в рамках инфраструктуры открытых ключей.

Список использованной литературы и интернет-ресурсов:

1. М.Ю. Рогожин «Офис-мастер».- Приложение к журналу «Справочник секретаря и офис-менеджера»,2006.-М.: МЦФЭР;

2. «Делопроизводство» (Организация и технологии документационного обеспечения управления): Учебник для вузов /Кузнецова Т.В., Санкина Л.В., Быкова Т.А. и др.; Под ред. проф. Т.В. Кузнецовой. – М.: ЮНИТИ – ДАНА, 2003;

3. http://na55555.ru/prochee/organizaciya-raboty-s-dokumentami.html;

4. Делопроизводство: организация и ведение: учебно-практическое пособие / В.И. Андреева. — 3-е изд., перераб. и доп. — М.: КНОРУС, 2010;

5. Закон от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг»;

6. Закон от 27.07.2010 N 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;

7. Статья// Борьба с инсайдерством в России и за рубежом, Шестакова Е.;

8. Журнал «Connect. Мир информационных технологий», №11, 2014, Алексей Комаров, ноябрь 2014;

9. "Современные алгоритмы шифрования", "BYTE/Россия" № 8'2003;

10. "Открытые ключи - опасности и защита от них", "BYTE/Россия" № 7'2004.

Не нашли, что искали? Воспользуйтесь поиском: