Читаем Обеспечение информационной безопасности бизнеса полностью

В то же время среда существования человека и человеческих сообществ постоянно меняется в различных аспектах: социальном, культурном, экономическом, информационном. Не меняя природу человека, такие изменения среды тем не менее существенно воздействуют на пространство угроз в информационной сфере (угроз ИБ), в котором современная организация существует, пытаясь выжить и реализовать поставленные цели.

Среди наиболее важных (с точки зрения угроз ИБ от персонала) характеристик и явлений, которые присущи среде организации XXI в., отметим:

— высокий уровень конкуренции между предприятиями;

— изменчивость законодательных требований, в частности появление законодательных требований относительно обработки персональных данных, изменение норм трудового законодательства;

— открытость рынков, на которых информация имеет ключевое значение для выживания предприятия;

— высокая динамичность предприятий (быстрый рост небольших предприятий, изменчивость крупных), усложнение бизнес-процессов и изменчивость бизнес-целей;

— большой размер организационных структур и масштабов их деятельности;

— изменение трудовой культуры, текучесть кадров;

— высокие, постоянно растущие материальные ожидания персонала;

— социальная напряженность в обществе, «падение нравов»;

— уход документооборота и других операций в электронную форму;

— автоматизация деятельности, возрастание зависимости бизнеса от ИТ-услуг и качественных характеристик используемой информации, возрастание количества точек отказа, расположенных в информационных системах;

— возрастание сложности информационных технологий как в результате реагирования на усложнение деятельности организации, так и из-за существующих тенденций развития ИТ;

— высокая изменчивость ИТ как в результате реагирования на потребности бизнеса, так и из-за существующих тенденций развития ИТ;

— расширение каналов связи между информационными системами предприятий и сетью Интернет;

— расширение телекоммуникационных возможностей;

— повышение законодательных требований к объемным и качественным характеристикам отчетности, усиление ответственности организаций за качественных характеристики формируемой отчетности;

— масштабное использования аутсорсинга — использования услуг внешних организаций для решения задач, которые традиционно решались внутри организации ее работниками (бухгалтерских задач, задач разработки, внедрения и эксплуатации ИТ, задач аудита и др.).

Действие комплекса перечисленных взаимосвязанных явлений приводит к следующим последствиям:

1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;

2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;

3) проблема доверия между организацией и ее сотрудниками становится год от года только острее.

В результате значимость угроз ИБ от персонала для современной организации постоянно возрастает.

В настоящей главе рассматриваются только преднамеренные угрозы ИБ от персонала, т. е. угрозы в информационной сфере организации, связанные с преднамеренными действиями ее персонала, осуществляемыми с использованием служебных полномочий и направленными против интересов организации.

К сожалению, в современных источниках не существует устоявшейся терминологии в области угроз от персонала. Активно применяются термины: внутренний нарушитель, внутренний злоумышленник, инсайдер, корпоративное мошенничество, злоупотребление полномочиями и др. При этом содержание самих терминов часто неоднозначно даже у одного автора. Например, под инсайдером может пониматься:

— любой человек внутри организации;

— лицо, обладающее внутренней информацией организации, недоступной посторонним;

— лицо, нарушающее требования безопасности организации (например, «любой авторизованный пользователь, совершающий неразрешенные действия» [34]);

— лицо, обладающее правом принятия решений в организации (например, «физические лица, способные воздействовать на принятие решения о выдаче кредита банком» [35]);

— любое лицо, которому разрешен или был разрешен доступ к информационной системе [36];

— злонамеренный сотрудник организации, внутренний злоумышленник (например, «лица, которым разрешено или было разрешено использовать информационные системы, которые они в конечном счете использовали для совершения преступления (или нанесения ущерба)» [37]);

— сотрудник организации, пользующийся служебными полномочиями в личных целях.

Перечисленные категории близки, но не совпадают полностью, что создает неопределенность, препятствующую накоплению знаний в рассматриваемой области и обмену знаниями между специалистами.