— мошенничество, связанное с внутренней хозяйственной деятельностью организации, в частности, обязательствам по трудовым соглашениям.
Саботаж — это умышленное создание препятствий для осуществления некоторой деятельности организации, что уменьшает возможность реализации целей организации.
По целями саботажа инциденты могут быть классифицированы следующим образом:
— снижение репутации организации, например, компрометация качества определенных услуг, предоставляемых организацией, или иное нанесение ущерба отношениям организации с клиентами, например, с целью завладения клиентской базой организации;
— саботаж деятельности контрагентов организации;
— срыв, создание помех, манипулирование и оказание иных воздействий на управление, осуществление и результат некоторой бизнес-деятельности, вспомогательной деятельности или отдельного проекта организации, например, для получения конкурентами организации и иными субъектами рыночных отношений определенных преимуществ, создания условий, препятствующих обеспечению организацией своих законных прав;
— саботаж мер безопасности, используемых организацией, и создание уязвимостей с целью снижения защищенности информационных активов организации перед внешними и внутренними угрозами;
— сокрытие следов, создание ложных следов, ложных версий и иных помех для расследования некоторой противоправной деятельности;
— манипулирование рынками ценных бумаг путем создания «негатива» в связи с информацией о происшествии в организации;
— месть в отношении организации или отдельных сотрудников организации;
— экстремистские, террористические, политические и подобные цели.
Сокрытие правонарушения — это создание препятствий обнаружению и регистрации правонарушения.
Сокрытие правонарушений, в том числе различных видов корпоративных правонарушений может осуществляться в форме саботажа, фальсификации отчетности, а также в виде самостоятельного нарушения с использованием модификации, удаления, вброса информации или несанкционированной модификации программных и аппаратных средств.
Злоупотребление полномочиями — это использование инсайдером своих полномочий в целях извлечения не разрешенных организацией выгод и преимуществ для себя, что осуществляется путем выполнения или невыполнения каких-либо действий, связанных со служебными обязанностями инсайдера. К злоупотреблению полномочиями не относятся правонарушения, которые квалифицируются как хищение или саботаж.
В частности, к злоупотреблениям полномочиями относят:
— манипуляции, связанные с услугами, предоставляемыми организацией, например, создание необоснованных преимуществ или помех для определенных клиентов;
— манипуляции, связанные с закупками, осуществляемыми организацией, например создание необоснованных преимуществ для определенных поставщиков;
— манипуляция действиями организации в иных сферах ее деятельности (на различных рынках, в стратегическом планировании, в инвестиционных проектах, в сфере внутренней хозяйственной деятельности, в сфере и др.).
4.2.3. Факторная модель
Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.
Факторы риска связаны в единую сеть причинно-следственными связями. Конечным (и наиболее значимым для организации) узлом причинно-следственной сети является узел «Риски ИБ от персонала».
В факторной модели факторы риска разделены на два уровня:
— факторы риска второго уровня — сравнительно мелкие явления, которые могут отрабатываться (оцениваться, управляться) организацией по отдельности, между факторами этой группы существуют многочисленные связи, возможны циклы как положительной, так и отрицательной обратной связи;
— факторы риска первого уровня непосредственно влияют на реализацию рисков, они консолидируют влияние всего множества факторов риска второго уровня и позволяют упростить работу с моделью.
Факторы риска второго уровня необходимы в модели из-за многочисленности и сетевой структуры факторов первого уровня. Связи внутри группы факторов второго уровня отсутствуют.
Факторы риска первого уровня — это явления, которые непосредственно и наиболее сильно влияют на возможность реализации угроз ИБ от персонала в организации. Вариант системы факторов риска первого уровня приведен в таблице 11. Для факторов приведены краткие описания.
Перечисленные факторы риска первого уровня могут быть отображены (детализированы) в систему факторов риска второго уровня — более мелких (и поэтому более понятных) явлений, способствующих реализации угроз ИБ от персонала. Подготовленный нами вариант такого отображения представлен в таблице 12 и совершенно определенно не исчерпывает многогранной природы угроз ИБ от персонала. Отметим, что некоторые факторы второго уровня повторяются для нескольких факторов первого уровня, поскольку влияют на них одновременно.
