Обеспечение информационной безопасности бизнеса
Шрифт:
Хищение (финансовых или материальных) активов — это совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение активов (принадлежащих организации, ее контрагентам, третьим лицам) в пользу злоумышленника или других лиц, причинившие ущерб лицам, обладающим правами в отношении данных активов (например, собственнику, арендатору, залогодержателю).
Хищение финансовых и материальных активов включает следующие категории преступлений:
— кража;
— присвоение и растрата активов;
— различные
Наиболее распространены следующие формы мошенничества:
— мошенничество, связанное с отношениями с поставщиками;
— мошенничество, связанное с отношениями с клиентами;
— кредитное и инвестиционное мошенничество;
— вексельное мошенничество;
— мошенничество при использовании банковских гарантий и поручительств;
— мошенничество со счетами;
— вброс подложных или модификация корректных платежных документов;
— мошенничество с пластиковыми картами (фальшивые карты и операции);
— депозитное мошенничество;
— мошенничество, связанное с внутренней хозяйственной деятельностью организации, в частности, обязательствам по трудовым соглашениям.
Саботаж — это умышленное создание препятствий для осуществления некоторой деятельности организации, что уменьшает возможность реализации целей организации.
По целями саботажа инциденты могут быть классифицированы следующим образом:
— снижение репутации организации, например, компрометация качества определенных услуг, предоставляемых организацией, или иное нанесение ущерба отношениям организации с клиентами, например, с целью завладения клиентской базой организации;
— саботаж деятельности контрагентов организации;
— срыв, создание помех, манипулирование и оказание иных воздействий на управление, осуществление и результат некоторой бизнес-деятельности, вспомогательной деятельности или отдельного проекта организации, например, для получения конкурентами организации и иными субъектами рыночных отношений определенных преимуществ, создания условий, препятствующих обеспечению организацией своих законных прав;
— саботаж мер безопасности, используемых организацией, и создание уязвимостей с целью снижения защищенности информационных активов организации перед внешними и внутренними угрозами;
— сокрытие следов, создание ложных следов, ложных версий и иных помех для расследования некоторой противоправной деятельности;
— манипулирование рынками ценных бумаг путем создания «негатива» в связи с информацией о происшествии в организации;
— месть в отношении организации или отдельных сотрудников организации;
— экстремистские, террористические, политические и подобные цели.
Сокрытие правонарушения — это создание препятствий обнаружению и регистрации правонарушения.
Сокрытие правонарушений, в том числе различных видов корпоративных правонарушений может осуществляться в форме саботажа,
Злоупотребление полномочиями — это использование инсайдером своих полномочий в целях извлечения не разрешенных организацией выгод и преимуществ для себя, что осуществляется путем выполнения или невыполнения каких-либо действий, связанных со служебными обязанностями инсайдера. К злоупотреблению полномочиями не относятся правонарушения, которые квалифицируются как хищение или саботаж.
В частности, к злоупотреблениям полномочиями относят:
— манипуляции, связанные с услугами, предоставляемыми организацией, например, создание необоснованных преимуществ или помех для определенных клиентов;
— манипуляции, связанные с закупками, осуществляемыми организацией, например создание необоснованных преимуществ для определенных поставщиков;
— манипуляция действиями организации в иных сферах ее деятельности (на различных рынках, в стратегическом планировании, в инвестиционных проектах, в сфере внутренней хозяйственной деятельности, в сфере и др.).
4.2.3. Факторная модель
Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.
Факторы риска связаны в единую сеть причинно-следственными связями. Конечным (и наиболее значимым для организации) узлом причинно-следственной сети является узел «Риски ИБ от персонала».
В факторной модели факторы риска разделены на два уровня:
— факторы риска второго уровня — сравнительно мелкие явления, которые могут отрабатываться (оцениваться, управляться) организацией по отдельности, между факторами этой группы существуют многочисленные связи, возможны циклы как положительной, так и отрицательной обратной связи;
— факторы риска первого уровня непосредственно влияют на реализацию рисков, они консолидируют влияние всего множества факторов риска второго уровня и позволяют упростить работу с моделью.
Факторы риска второго уровня необходимы в модели из-за многочисленности и сетевой структуры факторов первого уровня. Связи внутри группы факторов второго уровня отсутствуют.
Факторы риска первого уровня — это явления, которые непосредственно и наиболее сильно влияют на возможность реализации угроз ИБ от персонала в организации. Вариант системы факторов риска первого уровня приведен в таблице 11. Для факторов приведены краткие описания.