Обеспечение информационной безопасности бизнеса - В. Андрианов
Шрифт:
Интервал:
Закладка:
Саботаж — это умышленное создание препятствий для осуществления некоторой деятельности организации, что уменьшает возможность реализации целей организации.
По целями саботажа инциденты могут быть классифицированы следующим образом:
— снижение репутации организации, например, компрометация качества определенных услуг, предоставляемых организацией, или иное нанесение ущерба отношениям организации с клиентами, например, с целью завладения клиентской базой организации;
— саботаж деятельности контрагентов организации;
— срыв, создание помех, манипулирование и оказание иных воздействий на управление, осуществление и результат некоторой бизнес-деятельности, вспомогательной деятельности или отдельного проекта организации, например, для получения конкурентами организации и иными субъектами рыночных отношений определенных преимуществ, создания условий, препятствующих обеспечению организацией своих законных прав;
— саботаж мер безопасности, используемых организацией, и создание уязвимостей с целью снижения защищенности информационных активов организации перед внешними и внутренними угрозами;
— сокрытие следов, создание ложных следов, ложных версий и иных помех для расследования некоторой противоправной деятельности;
— манипулирование рынками ценных бумаг путем создания «негатива» в связи с информацией о происшествии в организации;
— месть в отношении организации или отдельных сотрудников организации;
— экстремистские, террористические, политические и подобные цели.
Сокрытие правонарушения — это создание препятствий обнаружению и регистрации правонарушения.
Сокрытие правонарушений, в том числе различных видов корпоративных правонарушений может осуществляться в форме саботажа, фальсификации отчетности, а также в виде самостоятельного нарушения с использованием модификации, удаления, вброса информации или несанкционированной модификации программных и аппаратных средств.
Злоупотребление полномочиями — это использование инсайдером своих полномочий в целях извлечения не разрешенных организацией выгод и преимуществ для себя, что осуществляется путем выполнения или невыполнения каких-либо действий, связанных со служебными обязанностями инсайдера. К злоупотреблению полномочиями не относятся правонарушения, которые квалифицируются как хищение или саботаж.
В частности, к злоупотреблениям полномочиями относят:
— манипуляции, связанные с услугами, предоставляемыми организацией, например, создание необоснованных преимуществ или помех для определенных клиентов;
— манипуляции, связанные с закупками, осуществляемыми организацией, например создание необоснованных преимуществ для определенных поставщиков;
— манипуляция действиями организации в иных сферах ее деятельности (на различных рынках, в стратегическом планировании, в инвестиционных проектах, в сфере внутренней хозяйственной деятельности, в сфере и др.).
4.2.3. Факторная модель
Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.
Факторы риска связаны в единую сеть причинно-следственными связями. Конечным (и наиболее значимым для организации) узлом причинно-следственной сети является узел «Риски ИБ от персонала».
В факторной модели факторы риска разделены на два уровня:
— факторы риска второго уровня — сравнительно мелкие явления, которые могут отрабатываться (оцениваться, управляться) организацией по отдельности, между факторами этой группы существуют многочисленные связи, возможны циклы как положительной, так и отрицательной обратной связи;
— факторы риска первого уровня непосредственно влияют на реализацию рисков, они консолидируют влияние всего множества факторов риска второго уровня и позволяют упростить работу с моделью.
Факторы риска второго уровня необходимы в модели из-за многочисленности и сетевой структуры факторов первого уровня. Связи внутри группы факторов второго уровня отсутствуют.
Факторы риска первого уровня — это явления, которые непосредственно и наиболее сильно влияют на возможность реализации угроз ИБ от персонала в организации. Вариант системы факторов риска первого уровня приведен в таблице 11. Для факторов приведены краткие описания.
Перечисленные факторы риска первого уровня могут быть отображены (детализированы) в систему факторов риска второго уровня — более мелких (и поэтому более понятных) явлений, способствующих реализации угроз ИБ от персонала. Подготовленный нами вариант такого отображения представлен в таблице 12 и совершенно определенно не исчерпывает многогранной природы угроз ИБ от персонала. Отметим, что некоторые факторы второго уровня повторяются для нескольких факторов первого уровня, поскольку влияют на них одновременно.
Таблица 11
Продолжение табл. 11
Окончание табл. 11
Таблица 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12