Обеспечение информационной безопасности бизнеса

Голдуев Н. А.

Более подробно с данной категорией защитных мер можно ознакомиться, например, в книге А. И. Доронина «Бизнес-разведка» [54].

Выше была отмечена важность создания культуры безопасности в организации, элементом которой является формирование у сотрудников установки на выявление различных угроз для организации и на информирование ответственных лиц организации о таких угрозах.

4.3.4. Организационные аспекты

Комплексный характер проблемы и организации противодействия демонстрирует, что различные функции противодействия должны быть возложены на различные подразделения организации, компетентные в соответствующих областях, — кадровую службу, юридический отдел,

топ-менеджмент и линейных менеджеров, службу информационной безопасности, подразделение экономической безопасности. Только комплексный подход позволит обеспечить максимальный контроль за проблемами ИБ, связанными с персоналом.

Общая координация противодействия угрозам ИБ от персонала может быть возложена на службу безопасности организации, как непосредственно ответственную за противодействие различным умышленным угрозам, или на одного из топ-менеджеров организации, курирующего вопросы внутренней безопасности.

4.3.5. Скрытность противодействия

Можно быть уверенным, что внутренний злоумышленник, хорошо информированный о всех возможностях системы защиты, включая слабости и ограничения, будет искать и наверняка найдет способ обхода этой защиты, использовав при необходимости свои полномочия или введя в заблуждение коллег.

Хорошей практикой необходимо считать поддержание информационной неопределенности у персонала относительно характеристик по крайней мере части применяемых защитных мер. Такая неопределенность будет производить несколько эффектов:

— недостаточно информированный злоумышленник будет остановлен с большей вероятностью;

— недостаток информации будет производить сдерживающее воздействие на неинформированного злоумышленника даже тогда, когда фактически применяемые защитные меры обладают слабостями.

Скрытность очень важна как в отношении обнаруживающих мер, так и в отношении некоторых превентивных мер. Она обеспечивает эффективность этих мер, поскольку неинформированный злоумышленник будет действовать без учета данных мер и будет обнаружен.

Следующим этапом эволюции защитных мер является сознательное введение потенциальных злоумышленников в заблуждение, в частности:

— применение ложных защитных мер (они неотличимы от реальных, однако не функционируют, их главное преимущество заключается в дешевизне при очевидном сдерживающем воздействии);

— создание ложных информационных активов для отвлечения внимания злоумышленника от реальных ценностей организации; объекты-ловушки, маркированные информационные объекты и другие средства позволяют выявить не связанный с должностными обязанностями интерес к определенным объектам, документы «не на своем месте» и другие важные факты.

4.3.6. Управление системой ролей

Цель любой организации достигается в результате скоординированных действий участников (сотрудников) этой организации. При этом сами действия обычно заранее планируются и распределяются между сотрудниками организации в виде отдельных задач (функций, обязанностей). Состав задач и их распределение между сотрудниками могут оставаться неизменными на протяжении длительного времени, а могут изменяться в силу различных причин, таких как:

— изменение целей организации;

— оптимизация деятельности организации, например, с целью снижение издержек или уменьшения операционных рисков;

— адаптация деятельности организации под новые условия внешней среды, например, под потребности клиентов или под требования регулирующих органов;

— адаптация деятельности организации под новые условия внутренней среды, например, в связи с изменением состава сотрудников организации или в связи с внедрением специализированных средств автоматизации.

Распределение задач между сотрудниками

предполагает предоставление каждому из них соответствующего объема ресурсов, необходимых для выполнения задач. Предоставленные организацией сотруднику ограниченные права, разрешения на использование определенных ресурсов организации составляют его полномочия.

При этом результативное и эффективное выполнение сотрудником его задач требует, чтобы предоставленные ему полномочия соответствовали, были достаточны для выполнения этих задач. Недостаточный объем полномочий у сотрудника организации ставит под угрозу достижение намеченных целей, что для организации недопустимо. В этой связи в большинстве компаний можно наблюдать ситуацию, когда объем предоставленных сотруднику полномочий несколько превышает объем, достаточный для выполнения его задач. Отметим, что такая ситуация в большинстве случаев неизбежна, поскольку:

— всегда существует неопределенность относительно того, какие действия потребуются от сотрудника для выполнения его задачи, и относительно того, сколько в точности ресурсов будет необходимо для выполнения задачи;

— точная регламентация всех полномочий и их применения, а тем более исполнение регламентов весьма трудоемки для большинства организации;

— наиболее значительными полномочиями обладает менеджмент организации, который по ряду причин, в том числе объективных, не склонен ограничивать собственные полномочия.

Как следует из приведенного выше определения угроз ИБ от персонала, полномочия сотрудника в значительной мере определяют исходящие от него риски ИБ для организации. В примитивной форме эту зависимость можно описать так: чем больше объем полномочий, предоставленных сотруднику, тем больше исходящий от него риск ИБ.

В простейшем случае опасность совокупности полномочий, назначенных сотруднику, может быть охарактеризована объемом потенциальных негативных последствий для организации от возможного использования этих полномочий против интересов организации. В более сложных случаях необходимо учитывать, что нападения инсайдеров различных профессий (наделенных различными типами полномочий) существенно отличаются друг от друга, в том числе по характеру и объему негативных последствий для организации [55].

Задача сравнения опасности различных полномочий (например, бухгалтера, системного администратора и начальника производственного участка), по-видимому, не может быть решена иначе, как путем обобщения мнений компетентных лиц, экспертов. Каждая организация вправе выбрать способ сравнения «под себя», заложив в него собственный опыт и представления об угрозах ИБ от персонала.

Следует отметить, что распределение полномочий между сотрудниками обычно неравномерно (в смысле опасности) в силу различных причин — характера решаемых сотрудниками задач, их навыков, возможной оперативной необходимости или даже в результате случайного стечения обстоятельств. Некоторые сотрудники получают на время или постоянно вместе с обязанностями значительный объем полномочий, существенно превосходящий (по опасности) полномочия других сотрудников организации. Такую ситуацию — наличие в организации сотрудника, нецелевое использование полномочий которого может вызвать неприемлемые для организации негативные последствия, — будем называть концентрацией полномочий. Понятно, что для организации желательно, чтобы концентрация полномочий была исключена или по крайней мере количество «опасных» в этом смысле сотрудников было минимальным. В случаях, когда исключить концентрацию полномочий невозможно, целесообразно воздействие организации на другие факторы риска из числа перечисленных в подразделе 4.2.3, например, на факторы, связанные с контролируемостью соответствующих полномочий, или на факторы, связанные с мотивационной сферой соответствующих сотрудников.