В. Андрианов - Обеспечение информационной безопасности бизнеса
где i — количество оцениваемых рисковых событий,
j — количество факторов риска i-го рискового события.
Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.
Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.
4. Проблема персонала в задачах обеспечения информационной безопасности бизнеса
4.1. Общие сведения
4.1.1. Тенденции
Угрозы целям любого человеческого сообщества, исходящие от его участников, нельзя отнести к новым, появившимся в последнее время формам угроз. Такие угрозы существовали и реализовывались всегда, всегда осознавались и учитывались членами любого сообщества. Их изначальная природа погружена в сферу личностных мотивов, а также человеческих отношений [33] и не меняется многие тысячи лет. Глубинные причины внутренних происшествий в современной коммерческой организации совпадают с причинами внутренних происшествий в любом другом сообществе в истории человечества: в племени, в военном отряде, в монашеском ордене, в команде корабля.
В то же время среда существования человека и человеческих сообществ постоянно меняется в различных аспектах: социальном, культурном, экономическом, информационном. Не меняя природу человека, такие изменения среды тем не менее существенно воздействуют на пространство угроз в информационной сфере (угроз ИБ), в котором современная организация существует, пытаясь выжить и реализовать поставленные цели.
Среди наиболее важных (с точки зрения угроз ИБ от персонала) характеристик и явлений, которые присущи среде организации XXI в., отметим:
— высокий уровень конкуренции между предприятиями;
— изменчивость законодательных требований, в частности появление законодательных требований относительно обработки персональных данных, изменение норм трудового законодательства;
— открытость рынков, на которых информация имеет ключевое значение для выживания предприятия;
— высокая динамичность предприятий (быстрый рост небольших предприятий, изменчивость крупных), усложнение бизнес-процессов и изменчивость бизнес-целей;
— большой размер организационных структур и масштабов их деятельности;
— изменение трудовой культуры, текучесть кадров;
— высокие, постоянно растущие материальные ожидания персонала;
— социальная напряженность в обществе, «падение нравов»;
— уход документооборота и других операций в электронную форму;
— автоматизация деятельности, возрастание зависимости бизнеса от ИТ-услуг и качественных характеристик используемой информации, возрастание количества точек отказа, расположенных в информационных системах;
— возрастание сложности информационных технологий как в результате реагирования на усложнение деятельности организации, так и из-за существующих тенденций развития ИТ;
— высокая изменчивость ИТ как в результате реагирования на потребности бизнеса, так и из-за существующих тенденций развития ИТ;
— расширение каналов связи между информационными системами предприятий и сетью Интернет;
— расширение телекоммуникационных возможностей;
— повышение законодательных требований к объемным и качественным характеристикам отчетности, усиление ответственности организаций за качественных характеристики формируемой отчетности;
— масштабное использования аутсорсинга — использования услуг внешних организаций для решения задач, которые традиционно решались внутри организации ее работниками (бухгалтерских задач, задач разработки, внедрения и эксплуатации ИТ, задач аудита и др.).
Действие комплекса перечисленных взаимосвязанных явлений приводит к следующим последствиям:
1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;
2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;
3) проблема доверия между организацией и ее сотрудниками становится год от года только острее.
В результате значимость угроз ИБ от персонала для современной организации постоянно возрастает.
В настоящей главе рассматриваются только преднамеренные угрозы ИБ от персонала, т. е. угрозы в информационной сфере организации, связанные с преднамеренными действиями ее персонала, осуществляемыми с использованием служебных полномочий и направленными против интересов организации.
4.1.2. Термины и определения
К сожалению, в современных источниках не существует устоявшейся терминологии в области угроз от персонала. Активно применяются термины: внутренний нарушитель, внутренний злоумышленник, инсайдер, корпоративное мошенничество, злоупотребление полномочиями и др. При этом содержание самих терминов часто неоднозначно даже у одного автора. Например, под инсайдером может пониматься:
— любой человек внутри организации;
— лицо, обладающее внутренней информацией организации, недоступной посторонним;
— лицо, нарушающее требования безопасности организации (например, «любой авторизованный пользователь, совершающий неразрешенные действия» [34]);
— лицо, обладающее правом принятия решений в организации (например, «физические лица, способные воздействовать на принятие решения о выдаче кредита банком» [35]);
— любое лицо, которому разрешен или был разрешен доступ к информационной системе [36];
— злонамеренный сотрудник организации, внутренний злоумышленник (например, «лица, которым разрешено или было разрешено использовать информационные системы, которые они в конечном счете использовали для совершения преступления (или нанесения ущерба)» [37]);