Читаем Обеспечение информационной безопасности бизнеса полностью

— сокрытие или, напротив, демонстрация неудовлетворительных показателей деятельности;

— демонстрация завышенных результатов деятельности для получение поощрения или дополнительного трудового вознаграждения;

— введение в заблуждение контрагентов организации;

— введение в заблуждение регулирующих и правоохранительных органов;

— сокрытие нарушений законов, требований регулирующих органов, внутренних нормативных актов организации.

Хищение (финансовых или материальных) активов — это совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение активов (принадлежащих организации, ее контрагентам, третьим лицам) в пользу злоумышленника или других лиц, причинившие ущерб лицам, обладающим правами в отношении данных активов (например, собственнику, арендатору, залогодержателю).

Хищение финансовых и материальных активов включает следующие категории преступлений:

— кража;

— присвоение и растрата активов;

— различные формы мошенничества, связанного с осуществлением основной, вспомогательной и управленческой деятельности в организации.

Наиболее распространены следующие формы мошенничества:

— мошенничество, связанное с отношениями с поставщиками;

— мошенничество, связанное с отношениями с клиентами;

— кредитное и инвестиционное мошенничество;

— вексельное мошенничество;

— мошенничество при использовании банковских гарантий и поручительств;

— мошенничество со счетами;

— вброс подложных или модификация корректных платежных документов;

— мошенничество с пластиковыми картами (фальшивые карты и операции);

— депозитное мошенничество;

— мошенничество, связанное с внутренней хозяйственной деятельностью организации, в частности, обязательствам по трудовым соглашениям.

Саботаж — это умышленное создание препятствий для осуществления некоторой деятельности организации, что уменьшает возможность реализации целей организации.

По целями саботажа инциденты могут быть классифицированы следующим образом:

— снижение репутации организации, например, компрометация качества определенных услуг, предоставляемых организацией, или иное нанесение ущерба отношениям организации с клиентами, например, с целью завладения клиентской базой организации;

— саботаж деятельности контрагентов организации;

— срыв, создание помех, манипулирование и оказание иных воздействий на управление, осуществление и результат некоторой бизнес-деятельности, вспомогательной деятельности или отдельного проекта организации, например, для получения конкурентами организации и иными субъектами рыночных отношений определенных преимуществ, создания условий, препятствующих обеспечению организацией своих законных прав;

— саботаж мер безопасности, используемых организацией, и создание уязвимостей с целью снижения защищенности информационных активов организации перед внешними и внутренними угрозами;

— сокрытие следов, создание ложных следов, ложных версий и иных помех для расследования некоторой противоправной деятельности;

— манипулирование рынками ценных бумаг путем создания «негатива» в связи с информацией о происшествии в организации;

— месть в отношении организации или отдельных сотрудников организации;

— экстремистские, террористические, политические и подобные цели.

Сокрытие правонарушения — это создание препятствий обнаружению и регистрации правонарушения.

Сокрытие правонарушений, в том числе различных видов корпоративных правонарушений может осуществляться в форме саботажа, фальсификации отчетности, а также в виде самостоятельного нарушения с использованием модификации, удаления, вброса информации или несанкционированной модификации программных и аппаратных средств.

Злоупотребление полномочиями — это использование инсайдером своих полномочий в целях извлечения не разрешенных организацией выгод и преимуществ для себя, что осуществляется путем выполнения или невыполнения каких-либо действий, связанных со служебными обязанностями инсайдера. К злоупотреблению полномочиями не относятся правонарушения, которые квалифицируются как хищение или саботаж.

В частности, к злоупотреблениям полномочиями относят:

— манипуляции, связанные с услугами, предоставляемыми организацией, например, создание необоснованных преимуществ или помех для определенных клиентов;

— манипуляции, связанные с закупками, осуществляемыми организацией, например создание необоснованных преимуществ для определенных поставщиков;

— манипуляция действиями организации в иных сферах ее деятельности (на различных рынках, в стратегическом планировании, в инвестиционных проектах, в сфере внутренней хозяйственной деятельности, в сфере и др.).

Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.