По образу и подобию модель зрелости представляется для всех других процессов СМИБ организации.
Оценка уровня зрелости рассмотренного процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации должна осуществлять на основе свидетельств выполненной деятельности по направлениям, соответствующим заявляемому или ожидаемому уровню зрелости. Например, для оценок на первый или третий уровень зрелости должны быть представлены свидетельства по следующим направлениям.
1-й уровень зрелости (начальный)
3-й уровень зрелости
1) Процесс аттестован на соответствие 2-му уровню зрелости.
2) Получены свидетельства следующих действий.
3.4. Риск-ориентированная оценка информационной безопасности
Оценка, основанная на оценке риска и оценке управления риском, отличается от системно-ориентированной и процессно-ориентированной оценки и называется [32] риск-ориентированной оценкой. Ключевое отличие риск-ориентированной оценки в том, что оценка должна быть направлена на анализ того, как менеджмент организации оценивает риски, контролирует и проверяет процессы менеджмента риска.
Риск-ориентированная оценка дает объективное и наиболее информативное представление об уровне эффективности деятельности организации, эффективности принимаемых менеджментом решений и эффективности затрат на поддержание и развитие бизнеса, исходя из сопоставления существующих рисков деятельности организации и принимаемых организацией мер по обработке таких рисков.
Целью риск-ориентированной оценки является определение, что:
— процессы менеджмента риска должным образом созданы и внедрены;
— процессы менеджмента риска, которые высшее руководство применяло в организации (процессы менеджмента риска на корпоративном уровне, уровне отдела, подразделения, уровне бизнес-процесса), действуют надлежащим образом;
— в отношении рисков, подлежащих обработке, действия руководства организации направлены на снижение этих рисков до приемлемого уровня.
Алгоритм проведения риск-ориентированной оценки показан на рис. 61.
При проведении риск-ориентированной оценки следует:
— оценить инфраструктуру менеджмента риска, например ресурсов, документации, методов, сообщения;
— оценить специфические риски;
— при необходимости пересматривать бизнес-цели и процессы менеджмента риска;
— там, где нельзя считать процессы менеджмента риска адекватными существующим рискам, оценщик должен проводить собственную оценку риска (совместно с высшим руководством) для того, чтобы идентифицировать и оценить риски, а затем сконцентрироваться на том, что деятельности, связанные с менеджментом риска, выполняются надлежащим образом;
— конечный результат оценки должен заключаться в обеспечении уверенности в том, что менеджмент риска осуществляется надлежащим образом и направлен на снижение рисков до приемлемого уровня.
На рис. 62 показана модель риск-ориентированной оценки ИБ организации.
Риск реализуется через рисковые события, создающие ущерб целям бизнеса. В свою очередь, рисковые события являются следствием сочетания факторов риска, т. е. любому рисковому событию соответствует некоторый набор факторов риска.
Измерить фактор риска — это значит установить степень соответствия состояния фактора риска некоторому состоянию rm, определяющему проявление рискового события.
Для совокупности факторов риска функция соответствия показывает
степень достижения состояний факторов риска нежелательных состояний (состояний проявления рискового события).
Для каждого фактора риска, когда и являются неслучайными (детерминированными) переменными, функция соответствия служит результатом Wij измерения, полученного с помощью выбранного метода измерения:
где i — количество оцениваемых рисковых событий,
j — количество факторов риска i-го рискового события.
Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию. Такой же подход может применяться и для формирования итоговой оценки, определяющей совокупный риск ИБ организации.
Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.
4. Проблема персонала в задачах обеспечения информационной безопасности бизнеса
4.1. Общие сведения
4.1.1. Тенденции
Угрозы целям любого человеческого сообщества, исходящие от его участников, нельзя отнести к новым, появившимся в последнее время формам угроз. Такие угрозы существовали и реализовывались всегда, всегда осознавались и учитывались членами любого сообщества. Их изначальная природа погружена в сферу личностных мотивов, а также человеческих отношений [33] и не меняется многие тысячи лет. Глубинные причины внутренних происшествий в современной коммерческой организации совпадают с причинами внутренних происшествий в любом другом сообществе в истории человечества: в племени, в военном отряде, в монашеском ордене, в команде корабля.
В то же время среда существования человека и человеческих сообществ постоянно меняется в различных аспектах: социальном, культурном, экономическом, информационном. Не меняя природу человека, такие изменения среды тем не менее существенно воздействуют на пространство угроз в информационной сфере (угроз ИБ), в котором современная организация существует, пытаясь выжить и реализовать поставленные цели.
Среди наиболее важных (с точки зрения угроз ИБ от персонала) характеристик и явлений, которые присущи среде организации XXI в., отметим:
— высокий уровень конкуренции между предприятиями;
— изменчивость законодательных требований, в частности появление законодательных требований относительно обработки персональных данных, изменение норм трудового законодательства;
— открытость рынков, на которых информация имеет ключевое значение для выживания предприятия;
— высокая динамичность предприятий (быстрый рост небольших предприятий, изменчивость крупных), усложнение бизнес-процессов и изменчивость бизнес-целей;
— большой размер организационных структур и масштабов их деятельности;
— изменение трудовой культуры, текучесть кадров;
— высокие, постоянно растущие материальные ожидания персонала;
— социальная напряженность в обществе, «падение нравов»;
— уход документооборота и других операций в электронную форму;
— автоматизация деятельности, возрастание зависимости бизнеса от ИТ-услуг и качественных характеристик используемой информации, возрастание количества точек отказа, расположенных в информационных системах;
— возрастание сложности информационных технологий как в результате реагирования на усложнение деятельности организации, так и из-за существующих тенденций развития ИТ;
— высокая изменчивость ИТ как в результате реагирования на потребности бизнеса, так и из-за существующих тенденций развития ИТ;
— расширение каналов связи между информационными системами предприятий и сетью Интернет;
— расширение телекоммуникационных возможностей;
— повышение законодательных требований к объемным и качественным характеристикам отчетности, усиление ответственности организаций за качественных характеристики формируемой отчетности;
— масштабное использования аутсорсинга — использования услуг внешних организаций для решения задач, которые традиционно решались внутри организации ее работниками (бухгалтерских задач, задач разработки, внедрения и эксплуатации ИТ, задач аудита и др.).
Действие комплекса перечисленных взаимосвязанных явлений приводит к следующим последствиям:
1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;
2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;
1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;
2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;
3) проблема доверия между организацией и ее сотрудниками становится год от года только острее.
В результате значимость угроз ИБ от персонала для современной организации постоянно возрастает.
В настоящей главе рассматриваются только преднамеренные угрозы ИБ от персонала, т. е. угрозы в информационной сфере организации, связанные с преднамеренными действиями ее персонала, осуществляемыми с использованием служебных полномочий и направленными против интересов организации.
4.1.2. Термины и определения
К сожалению, в современных источниках не существует устоявшейся терминологии в области угроз от персонала. Активно применяются термины: внутренний нарушитель, внутренний злоумышленник, инсайдер, корпоративное мошенничество, злоупотребление полномочиями и др. При этом содержание самих терминов часто неоднозначно даже у одного автора. Например, под инсайдером может пониматься:
— любой человек внутри организации;
— лицо, обладающее внутренней информацией организации, недоступной посторонним;
— лицо, нарушающее требования безопасности организации (например, «любой авторизованный пользователь, совершающий неразрешенные действия» [34]);
— лицо, обладающее правом принятия решений в организации (например, «физические лица, способные воздействовать на принятие решения о выдаче кредита банком» [35]);
— любое лицо, которому разрешен или был разрешен доступ к информационной системе [36];
— злонамеренный сотрудник организации, внутренний злоумышленник (например, «лица, которым разрешено или было разрешено использовать информационные системы, которые они в конечном счете использовали для совершения преступления (или нанесения ущерба)» [37]);
— сотрудник организации, пользующийся служебными полномочиями в личных целях.
Перечисленные категории близки, но не совпадают полностью, что создает неопределенность, препятствующую накоплению знаний в рассматриваемой области и обмену знаниями между специалистами.
Поэтому в настоящей главе мы ограничили ряд необходимых для изложения материала терминов, а их содержание раскрыли в данном подразделе.
Сотрудник организации — лицо, выполняющее работу в этой организации на временной или постоянной основе, которому организация доверяет, предоставляя необходимые ему для выполнения обязанностей полномочия и информацию.
Персонал организации — множество всех сотрудников организации.
Инсайдер — лицо, обладающее служебными полномочиями в отношении информационных активов организации и (или) знаниями особенностей ИТ-среды организации, которые могут быть использованы нежелательным для организации образом.
К служебным полномочиям инсайдера могут быть отнесены следующие:
— доступ к служебной информации ограниченного распространения, представленной в различной форме (например, персональные данные, информация, составляющая коммерческую и банковскую тайны);
— полномочия в рамках корпоративного управления (руководство, планирование, координация, контроль, согласование, инициативы по внесению изменений, ознакомление с документами, обеспечение и др.);
— доступ к информационным системам организации на различных уровнях: на уровне аппаратного обеспечения, на уровне операционной системы, на сетевом уровне, на уровне администрирования приложений и баз данных, на уровне пользователя приложений (доступ на уровне пользователя за исключением систем общего доступа, таких как публичный веб-сайт, банкоматы, терминалы платежной системы и т. п.);
— физический доступ на объекты организации (доступ к средствам обработки информации, съемным носителям информации и т. д.);
— использование телефонной, радио и других видов связи с терминалов на территории организации;
— другие полномочия.
Понятно, что большинство инсайдеров являются сотрудниками организации (относятся к персоналу организации). Однако отдельными характерными для инсайдера признаками могут обладать и другие лица:
— сотрудники регулирующих и правоохранительных органов, которым для выполнения их функций необходим доступ на территорию и (или) к информационной системе организации;
— сотрудники организаций-подрядчиков (в том числе потенциальных, с которыми еще не установлены договорные отношения);
— бывшие сотрудники организации, которые зачастую обладают серьезными знаниями внутренней среды организации и поддерживают контакты с бывшими коллегами;
— другие лица, которым правомерно (например, в силу деловой необходимости) организацией предоставлены характерные для инсайдера возможности (знания и (или) полномочия).
Далее в настоящей главе с целью упрощения будем рассматривать только умышленные (являющиеся результатом преднамеренных действий) угрозы ИБ от персонала организации (к персоналу относится большая часть инсайдеров). Однако в жизни все сложнее, и на практике необходимо учитывать опасности, исходящие от инсайдеров всех категорий.
Инцидентом с участием сотрудника организации (нападением, атакой) будем называть происшествие, в результате которого наступили (или с высокой вероятностью могли наступить) негативные последствия для организации и значимой причиной которого стало преднамеренное использование (или неиспользование — бездействие) сотрудником служебных полномочий и (или) знаний.
Происшествия, в которых негативная роль сотрудников связана с их непреднамеренными действиями (ошибками, халатностью, обманом со стороны третьих лиц), не будут рассматриваться в настоящей главе, хотя зачастую такие происшествия также представляют значительную опасность.
Злоумышленник — лицо, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации. При этом злоумышленник предвидит и осознает опасные последствия своего действия (бездействия) или не предвидит и не осознает, хотя должно и может предвидеть и осознавать возможность наступления этих последствий.
Внутренний злоумышленник — лицо из числа сотрудников организации, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации с использованием служебных полномочий и (или) знаний особенностей ИТ-среды организации.
Ошибка — неправильная оценка лицом, совершающим некоторое действие (бездействие), обстановки и (или) последствий своего действия (бездействия).
Фактор — объект, субъект или явление, которое имеет значение (оказывает влияние) в отношении некоторой интересующей нас цели.
Фактор риска ИБ от персонала — объект, субъект или явление, которое оказывает влияние на риски ИБ организации, связанные с персоналом.
4.1.3. Общая характеристика угроз
Далее приводятся некоторые утверждения, характеризующие угрозы ИБ от персонала.
Использование инсайдерами служебных полномочий и знаний ИТ-среды организации в интересах, противоречащих интересам организации, является одной из наиболее опасных по возможным негативным последствиям угроз ИБ организации.
Негативные последствия действий внутреннего злоумышленника могут быть не очевидны для менеджмента организации, поскольку могут проявиться спустя продолжительное время, заключаться в невозможности реализации долгосрочных целей организации, в снижении эффективности основных и вспомогательных видов деятельности, в финансовых потерях третьих лиц и т. д.
Внутренний злоумышленник будет использовать самое слабое звено системы защиты организации — и атака будет выполнена наиболее простым и безопасным из известных злоумышленнику способов. В частности, нападение внутреннего злоумышленника с большой вероятностью произойдет неожиданно для организации.
Внутренний злоумышленник будет управлять своими знаниями и знаниями окружающих его сотрудников в собственных интересах, воздействуя на информационную сферу организации.