Читаем Обеспечение информационной безопасности бизнеса полностью

— сопоставление значимости для организации различных угроз ИБ от персонала;

— оценка возможных изменений значимости угроз ИБ от персонала в результате проводимых изменений операционной среды организации;

— поддержка деятельности по разработке в организации внутренних нормативных и организационно-распорядительных документов;

— аналитическое обеспечение деятельности по выявлению областей повышенного риска ИБ от персонала;

— другие задачи, связанные как с принятием решений по защитным мерам, так и с применением защитных мер.

Обобщение мировой практики позволяет выделить следующие типы инцидентов ИБ с участием персонала организации:

— разглашение служебной информации;

— фальсификация отчетности;

— хищение финансовых и материальных активов;

— саботаж деятельности организации;

— злоупотребление служебными полномочиями;

— сокрытие правонарушений.

Под разглашением служебной информации организации (нарушение конфиденциальности служебной информации, утечка) понимается ее распространение за пределы информационной системы, в которой обрабатывается такая информация, или за пределы круга лиц, которым эта информация доверена.

Можно выделить следующие способы разглашения информации.

— Отчуждение информации, которое состоит в несанкционированном и скрытном копировании небольших фрагментов или значительного массива служебной информации (например, множества документов или базы данных) за пределы области, установленной организацией для хранения этой информации с возможной последующей передачей информационного массива сторонним лицам. Отчуждение может осуществляться внутренним злоумышленником с использованием твердых копий документов (вынос документов, использование почтовой связи) или съемного (флеш-диски и другие портативные накопители) носителя информации, с использованием фото/видеоаппаратуры, а также проводных или беспроводных каналов связи и другими способами.

— Разглашение информации, известной инсайдеру в силу своего служебного положения, третьим лицам, а также предоставление таким лицам консультаций, рекомендаций и аналитических материалов. Такая деятельность может осуществляться в устной форме или путем подготовки инсайдером документа на основе информации, известной инсайдеру в силу своего служебного положения.

Можно выделить следующие способы получения инсайдером разглашаемой служебной информации:

— инсайдер не осуществляет специальный поиск разглашаемой информации, она стала известна ему в результате штатной деятельности из служебных документов и в результате общения с сотрудниками организации; данная информация необходима ему для исполнения служебных обязанностей;

— инсайдер обладает штатным доступом к служебной информации в качестве пользователя информационной системы и может осуществлять поиск необходимых ему материалов в информационной системе по их атрибутам, ознакомление с их содержимым и (или) копирование целиком или отдельными фрагментами;

— инсайдер не обладает штатным доступом к служебной информации, интересующей сторонних лиц, и запрашивает соответствующие дополнительные полномочия, мотивируя некоторой правдоподобной служебной необходимостью;

— инсайдер осуществляет несанкционированное получение информации, используя слабости системы разграничения доступа, осуществляя кражу носителей или оборудования, восстановление остаточной информации, используя специальную аппаратуру или программные средства для съема или перехвата информации, используя приемы социальной инженерии, идентификатор и прочие атрибуты безопасности другого пользователя, ошибки персонала и другие возможности;

— инсайдер выполняет обязанности администратора в информационной системе, а информация, обрабатываемая в данной системе, оказывается доступна ему для ознакомления или копирования как лицу с полномочиями системного администратора;

— инсайдер получает служебную информацию при устном неформальном общении с другими инсайдерами, обладающими такой информацией;

— инсайдер получает информацию путем анализа и обобщения фактов, фрагментов информации, полученных им из различных источников — штатным образом, путем наблюдения за поведением и общением субъектов, за распорядком деятельности и т. д.;

— инсайдер получает служебную информацию в результате сговора с другим инсайдером, получившим доступ к информации одним из перечисленных в настоящем перечне способов.

Разглашенная инсайдером служебная информация может быть объединением фрагментов информации, полученной различными способами из числа приведенных выше.

Фальсификация отчетности состоит в умышленном представлении ложных или искаженных отчетов по результатам некоторой деятельности. Собственно фальсифицируемые отчеты, могут относиться как к внутренней деятельности организации, так и к отношениям организации с внешними структурами (государственными органами, материнской компанией, дочерними компаниями, кредиторами).

По целям фальсификация отчетности может быть классифицирована следующим образом: