Обеспечение информационной безопасности бизнеса
Шрифт:
— возрастание сложности информационных технологий как в результате реагирования на усложнение деятельности организации, так и из-за существующих тенденций развития ИТ;
— высокая изменчивость ИТ как в результате реагирования на потребности бизнеса, так и из-за существующих тенденций развития ИТ;
— расширение каналов связи между информационными системами предприятий и сетью Интернет;
— расширение телекоммуникационных возможностей;
— повышение законодательных требований к объемным и качественным характеристикам отчетности,
— масштабное использования аутсорсинга — использования услуг внешних организаций для решения задач, которые традиционно решались внутри организации ее работниками (бухгалтерских задач, задач разработки, внедрения и эксплуатации ИТ, задач аудита и др.).
Действие комплекса перечисленных взаимосвязанных явлений приводит к следующим последствиям:
1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;
2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;
3) проблема доверия между организацией и ее сотрудниками становится год от года только острее.
В результате значимость угроз ИБ от персонала для современной организации постоянно возрастает.
В настоящей главе рассматриваются только преднамеренные угрозы ИБ от персонала, т. е. угрозы в информационной сфере организации, связанные с преднамеренными действиями ее персонала, осуществляемыми с использованием служебных полномочий и направленными против интересов организации.
4.1.2. Термины и определения
К сожалению, в современных источниках не существует устоявшейся терминологии в области угроз от персонала. Активно применяются термины: внутренний нарушитель, внутренний злоумышленник, инсайдер, корпоративное мошенничество, злоупотребление полномочиями и др. При этом содержание самих терминов часто неоднозначно даже у одного автора. Например, под инсайдером может пониматься:
— любой человек внутри организации;
— лицо, обладающее внутренней информацией организации, недоступной посторонним;
— лицо, нарушающее требования безопасности организации (например, «любой авторизованный пользователь, совершающий неразрешенные действия» [34]);
— лицо, обладающее правом принятия решений в организации (например, «физические лица, способные воздействовать на принятие решения о выдаче кредита банком» [35]);
— любое лицо, которому разрешен или был разрешен доступ к информационной системе [36];
— злонамеренный сотрудник организации, внутренний
— сотрудник организации, пользующийся служебными полномочиями в личных целях.
Перечисленные категории близки, но не совпадают полностью, что создает неопределенность, препятствующую накоплению знаний в рассматриваемой области и обмену знаниями между специалистами.
Поэтому в настоящей главе мы ограничили ряд необходимых для изложения материала терминов, а их содержание раскрыли в данном подразделе.
Сотрудник организации — лицо, выполняющее работу в этой организации на временной или постоянной основе, которому организация доверяет, предоставляя необходимые ему для выполнения обязанностей полномочия и информацию.
Персонал организации — множество всех сотрудников организации.
Инсайдер — лицо, обладающее служебными полномочиями в отношении информационных активов организации и (или) знаниями особенностей ИТ-среды организации, которые могут быть использованы нежелательным для организации образом.
К служебным полномочиям инсайдера могут быть отнесены следующие:
— доступ к служебной информации ограниченного распространения, представленной в различной форме (например, персональные данные, информация, составляющая коммерческую и банковскую тайны);
— полномочия в рамках корпоративного управления (руководство, планирование, координация, контроль, согласование, инициативы по внесению изменений, ознакомление с документами, обеспечение и др.);
— доступ к информационным системам организации на различных уровнях: на уровне аппаратного обеспечения, на уровне операционной системы, на сетевом уровне, на уровне администрирования приложений и баз данных, на уровне пользователя приложений (доступ на уровне пользователя за исключением систем общего доступа, таких как публичный веб-сайт, банкоматы, терминалы платежной системы и т. п.);
— физический доступ на объекты организации (доступ к средствам обработки информации, съемным носителям информации и т. д.);
— использование телефонной, радио и других видов связи с терминалов на территории организации;
— другие полномочия.
Понятно, что большинство инсайдеров являются сотрудниками организации (относятся к персоналу организации). Однако отдельными характерными для инсайдера признаками могут обладать и другие лица:
— сотрудники регулирующих и правоохранительных органов, которым для выполнения их функций необходим доступ на территорию и (или) к информационной системе организации;