В. Андрианов - Обеспечение информационной безопасности бизнеса
— сотрудник организации, пользующийся служебными полномочиями в личных целях.
Перечисленные категории близки, но не совпадают полностью, что создает неопределенность, препятствующую накоплению знаний в рассматриваемой области и обмену знаниями между специалистами.
Поэтому в настоящей главе мы ограничили ряд необходимых для изложения материала терминов, а их содержание раскрыли в данном подразделе.
Сотрудник организации — лицо, выполняющее работу в этой организации на временной или постоянной основе, которому организация доверяет, предоставляя необходимые ему для выполнения обязанностей полномочия и информацию.
Персонал организации — множество всех сотрудников организации.
Инсайдер — лицо, обладающее служебными полномочиями в отношении информационных активов организации и (или) знаниями особенностей ИТ-среды организации, которые могут быть использованы нежелательным для организации образом.
К служебным полномочиям инсайдера могут быть отнесены следующие:
— доступ к служебной информации ограниченного распространения, представленной в различной форме (например, персональные данные, информация, составляющая коммерческую и банковскую тайны);
— полномочия в рамках корпоративного управления (руководство, планирование, координация, контроль, согласование, инициативы по внесению изменений, ознакомление с документами, обеспечение и др.);
— доступ к информационным системам организации на различных уровнях: на уровне аппаратного обеспечения, на уровне операционной системы, на сетевом уровне, на уровне администрирования приложений и баз данных, на уровне пользователя приложений (доступ на уровне пользователя за исключением систем общего доступа, таких как публичный веб-сайт, банкоматы, терминалы платежной системы и т. п.);
— физический доступ на объекты организации (доступ к средствам обработки информации, съемным носителям информации и т. д.);
— использование телефонной, радио и других видов связи с терминалов на территории организации;
— другие полномочия.
Понятно, что большинство инсайдеров являются сотрудниками организации (относятся к персоналу организации). Однако отдельными характерными для инсайдера признаками могут обладать и другие лица:
— сотрудники регулирующих и правоохранительных органов, которым для выполнения их функций необходим доступ на территорию и (или) к информационной системе организации;
— сотрудники организаций-подрядчиков (в том числе потенциальных, с которыми еще не установлены договорные отношения);
— бывшие сотрудники организации, которые зачастую обладают серьезными знаниями внутренней среды организации и поддерживают контакты с бывшими коллегами;
— другие лица, которым правомерно (например, в силу деловой необходимости) организацией предоставлены характерные для инсайдера возможности (знания и (или) полномочия).
Далее в настоящей главе с целью упрощения будем рассматривать только умышленные (являющиеся результатом преднамеренных действий) угрозы ИБ от персонала организации (к персоналу относится большая часть инсайдеров). Однако в жизни все сложнее, и на практике необходимо учитывать опасности, исходящие от инсайдеров всех категорий.
Инцидентом с участием сотрудника организации (нападением, атакой) будем называть происшествие, в результате которого наступили (или с высокой вероятностью могли наступить) негативные последствия для организации и значимой причиной которого стало преднамеренное использование (или неиспользование — бездействие) сотрудником служебных полномочий и (или) знаний.
Происшествия, в которых негативная роль сотрудников связана с их непреднамеренными действиями (ошибками, халатностью, обманом со стороны третьих лиц), не будут рассматриваться в настоящей главе, хотя зачастую такие происшествия также представляют значительную опасность.
Злоумышленник — лицо, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации. При этом злоумышленник предвидит и осознает опасные последствия своего действия (бездействия) или не предвидит и не осознает, хотя должно и может предвидеть и осознавать возможность наступления этих последствий.
Внутренний злоумышленник — лицо из числа сотрудников организации, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации с использованием служебных полномочий и (или) знаний особенностей ИТ-среды организации.
Ошибка — неправильная оценка лицом, совершающим некоторое действие (бездействие), обстановки и (или) последствий своего действия (бездействия).
Фактор — объект, субъект или явление, которое имеет значение (оказывает влияние) в отношении некоторой интересующей нас цели.
Фактор риска ИБ от персонала — объект, субъект или явление, которое оказывает влияние на риски ИБ организации, связанные с персоналом.
4.1.3. Общая характеристика угроз
Далее приводятся некоторые утверждения, характеризующие угрозы ИБ от персонала.
Использование инсайдерами служебных полномочий и знаний ИТ-среды организации в интересах, противоречащих интересам организации, является одной из наиболее опасных по возможным негативным последствиям угроз ИБ организации.
Негативные последствия действий внутреннего злоумышленника могут быть не очевидны для менеджмента организации, поскольку могут проявиться спустя продолжительное время, заключаться в невозможности реализации долгосрочных целей организации, в снижении эффективности основных и вспомогательных видов деятельности, в финансовых потерях третьих лиц и т. д.
Внутренний злоумышленник будет использовать самое слабое звено системы защиты организации — и атака будет выполнена наиболее простым и безопасным из известных злоумышленнику способов. В частности, нападение внутреннего злоумышленника с большой вероятностью произойдет неожиданно для организации.
Внутренний злоумышленник будет управлять своими знаниями и знаниями окружающих его сотрудников в собственных интересах, воздействуя на информационную сферу организации.
Внутренний злоумышленник хорошо информирован о том способе атаки, который собирается использовать. Велика вероятность, что он воспользуется видами доступа, которые применяет повседневно в своей работе.
