Обеспечение информационной безопасности бизнеса

форме (например, персональные данные, информация, составляющая коммерческую и банковскую тайны);

— полномочия в рамках корпоративного управления (руководство, планирование, координация, контроль, согласование, инициативы по внесению изменений, ознакомление с документами, обеспечение и др.);

— доступ к информационным системам организации на различных уровнях: на уровне аппаратного обеспечения, на уровне операционной системы, на сетевом уровне, на уровне администрирования приложений и баз данных, на уровне пользователя приложений (доступ на уровне пользователя за исключением систем общего доступа, таких как публичный веб-сайт, банкоматы, терминалы платежной системы и т. п.);

— физический доступ на объекты организации (доступ к средствам обработки информации, съемным носителям информации и т. д.);

— использование телефонной, радио и других видов связи с терминалов на территории организации;

— другие полномочия.

Понятно, что большинство инсайдеров являются сотрудниками организации (относятся к персоналу организации). Однако отдельными характерными для инсайдера признаками могут обладать и другие лица:

— сотрудники регулирующих и правоохранительных органов, которым для выполнения их функций необходим доступ на территорию и (или) к информационной системе организации;

— сотрудники организаций-подрядчиков (в том числе потенциальных, с которыми еще не установлены договорные отношения);

— бывшие сотрудники организации, которые зачастую обладают серьезными знаниями внутренней среды организации и поддерживают контакты с бывшими коллегами;

— другие лица, которым правомерно (например, в силу деловой необходимости) организацией предоставлены характерные для инсайдера возможности (знания и (или) полномочия).

Далее в настоящей главе с целью упрощения будем рассматривать только умышленные (являющиеся результатом преднамеренных действий) угрозы ИБ от персонала организации (к персоналу относится большая часть инсайдеров). Однако в жизни все сложнее, и на практике необходимо учитывать опасности, исходящие от инсайдеров всех категорий.

Инцидентом с участием сотрудника организации (нападением, атакой) будем называть происшествие, в результате которого наступили (или с высокой вероятностью могли наступить) негативные последствия для организации и значимой причиной которого стало преднамеренное использование (или неиспользование — бездействие) сотрудником служебных полномочий и (или) знаний.

Происшествия, в которых негативная роль сотрудников связана с их непреднамеренными действиями (ошибками, халатностью, обманом со стороны третьих лиц), не будут рассматриваться в настоящей главе, хотя зачастую такие происшествия также представляют значительную опасность.

Злоумышленник — лицо, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации. При этом злоумышленник предвидит и осознает опасные последствия своего действия (бездействия) или не предвидит и не осознает, хотя должно и может предвидеть и осознавать возможность наступления этих последствий.

Внутренний злоумышленник — лицо из числа сотрудников организации, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации с использованием служебных полномочий и (или) знаний особенностей ИТ-среды организации.

Ошибка — неправильная оценка лицом, совершающим некоторое действие (бездействие), обстановки и (или) последствий своего действия (бездействия).

Фактор — объект, субъект или явление, которое имеет значение (оказывает влияние) в отношении некоторой интересующей нас цели.

Фактор риска ИБ от персонала — объект, субъект или явление, которое оказывает влияние на риски ИБ организации, связанные с персоналом.

4.1.3. Общая характеристика угроз

Далее приводятся некоторые утверждения, характеризующие угрозы ИБ от персонала.

Использование инсайдерами служебных полномочий и знаний ИТ-среды организации в интересах, противоречащих интересам организации, является одной из наиболее опасных по возможным негативным последствиям угроз ИБ организации.

Негативные последствия действий внутреннего злоумышленника могут быть не очевидны для менеджмента организации, поскольку могут проявиться спустя продолжительное время, заключаться в невозможности реализации долгосрочных целей организации, в снижении эффективности основных и вспомогательных видов деятельности, в финансовых потерях третьих лиц и т. д.

Внутренний злоумышленник будет использовать самое слабое звено системы защиты организации — и атака будет выполнена наиболее простым и безопасным из известных злоумышленнику способов. В частности, нападение внутреннего злоумышленника с большой вероятностью произойдет неожиданно для организации.

Внутренний злоумышленник будет управлять своими знаниями и знаниями окружающих его сотрудников в собственных интересах, воздействуя на информационную сферу организации.

Внутренний злоумышленник хорошо информирован о том способе атаки, который собирается использовать. Велика вероятность, что он воспользуется видами доступа, которые применяет повседневно в своей работе.

Различные угрозы ИБ от персонала не равновероятны между собой из-за того, что разным угрозам соответствуют разные мотивы, разные возможности их осуществления, различная привлекательность результата для злоумышленника.

Главной причиной возникновения угроз ИБ от персонала является возможность конфликта интересов — скрытого противоречия между служебными обязанностями сотрудника перед организацией и личными интересами сотрудника.

Сущностью угрозы ИБ от персонала является злоупотребление доверием организации, причем доверие организации проявляется в предоставлении инсайдеру полномочий в отношении информационных активов организации, а также возможности получения знаний об ИТ-среде организации.

Атака на информационные активы организации, совершаемая внутренним злоумышленником, является элементом противоправной деятельности одного правонарушителя или группы правонарушителей. Деятельность внутреннего злоумышленника в ИТ-среде организации в различных случаях может составлять как значительную, так и небольшую часть общей схемы противоправной деятельности. Поэтому практически идентифицировать атаку, определить личность злоумышленника и действительную цель атаки во многих случаях возможно лишь путем вскрытия всей схемы противоправной деятельности.

Для большинства угроз ИБ от персонала характерна высокая скрытность действий внутреннего злоумышленника.

Меры разграничения и управления доступом к информационным активам организации прозрачны для инсайдеров, поскольку они обладают служебными полномочиями доступа, что определяет необходимость применения специализированных мер для противодействия угрозам ИБ от персонала.