В. Андрианов - Обеспечение информационной безопасности бизнеса

где i — количество оцениваемых рисковых событий,

j — количество факторов риска i-го рискового события.

Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.

Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.

4. Проблема персонала в задачах обеспечения информационной безопасности бизнеса

4.1. Общие сведения

4.1.1. Тенденции

Угрозы целям любого человеческого сообщества, исходящие от его участников, нельзя отнести к новым, появившимся в последнее время формам угроз. Такие угрозы существовали и реализовывались всегда, всегда осознавались и учитывались членами любого сообщества. Их изначальная природа погружена в сферу личностных мотивов, а также человеческих отношений [33] и не меняется многие тысячи лет. Глубинные причины внутренних происшествий в современной коммерческой организации совпадают с причинами внутренних происшествий в любом другом сообществе в истории человечества: в племени, в военном отряде, в монашеском ордене, в команде корабля.

В то же время среда существования человека и человеческих сообществ постоянно меняется в различных аспектах: социальном, культурном, экономическом, информационном. Не меняя природу человека, такие изменения среды тем не менее существенно воздействуют на пространство угроз в информационной сфере (угроз ИБ), в котором современная организация существует, пытаясь выжить и реализовать поставленные цели.

Среди наиболее важных (с точки зрения угроз ИБ от персонала) характеристик и явлений, которые присущи среде организации XXI в., отметим:

— высокий уровень конкуренции между предприятиями;

— изменчивость законодательных требований, в частности появление законодательных требований относительно обработки персональных данных, изменение норм трудового законодательства;

— открытость рынков, на которых информация имеет ключевое значение для выживания предприятия;

— высокая динамичность предприятий (быстрый рост небольших предприятий, изменчивость крупных), усложнение бизнес-процессов и изменчивость бизнес-целей;

— большой размер организационных структур и масштабов их деятельности;

— изменение трудовой культуры, текучесть кадров;

— высокие, постоянно растущие материальные ожидания персонала;

— социальная напряженность в обществе, «падение нравов»;

— уход документооборота и других операций в электронную форму;

— автоматизация деятельности, возрастание зависимости бизнеса от ИТ-услуг и качественных характеристик используемой информации, возрастание количества точек отказа, расположенных в информационных системах;

— возрастание сложности информационных технологий как в результате реагирования на усложнение деятельности организации, так и из-за существующих тенденций развития ИТ;

— высокая изменчивость ИТ как в результате реагирования на потребности бизнеса, так и из-за существующих тенденций развития ИТ;

— расширение каналов связи между информационными системами предприятий и сетью Интернет;

— расширение телекоммуникационных возможностей;

— повышение законодательных требований к объемным и качественным характеристикам отчетности, усиление ответственности организаций за качественных характеристики формируемой отчетности;

— масштабное использования аутсорсинга — использования услуг внешних организаций для решения задач, которые традиционно решались внутри организации ее работниками (бухгалтерских задач, задач разработки, внедрения и эксплуатации ИТ, задач аудита и др.).

Действие комплекса перечисленных взаимосвязанных явлений приводит к следующим последствиям:

1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;

2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;

3) проблема доверия между организацией и ее сотрудниками становится год от года только острее.

В результате значимость угроз ИБ от персонала для современной организации постоянно возрастает.

В настоящей главе рассматриваются только преднамеренные угрозы ИБ от персонала, т. е. угрозы в информационной сфере организации, связанные с преднамеренными действиями ее персонала, осуществляемыми с использованием служебных полномочий и направленными против интересов организации.

4.1.2. Термины и определения

К сожалению, в современных источниках не существует устоявшейся терминологии в области угроз от персонала. Активно применяются термины: внутренний нарушитель, внутренний злоумышленник, инсайдер, корпоративное мошенничество, злоупотребление полномочиями и др. При этом содержание самих терминов часто неоднозначно даже у одного автора. Например, под инсайдером может пониматься:

— любой человек внутри организации;

— лицо, обладающее внутренней информацией организации, недоступной посторонним;

— лицо, нарушающее требования безопасности организации (например, «любой авторизованный пользователь, совершающий неразрешенные действия» [34]);

— лицо, обладающее правом принятия решений в организации (например, «физические лица, способные воздействовать на принятие решения о выдаче кредита банком» [35]);

— любое лицо, которому разрешен или был разрешен доступ к информационной системе [36];

— злонамеренный сотрудник организации, внутренний злоумышленник (например, «лица, которым разрешено или было разрешено использовать информационные системы, которые они в конечном счете использовали для совершения преступления (или нанесения ущерба)» [37]);