BzBook.ru

Обеспечение информационной безопасности бизнеса

4.2.2. Типология инцидентов

Обобщение мировой практики позволяет выделить следующие типы инцидентов ИБ с участием персонала организации:

— разглашение служебной информации;

— фальсификация отчетности;

— хищение финансовых и материальных активов;

— саботаж деятельности организации;

— злоупотребление служебными полномочиями;

— сокрытие правонарушений.


Под разглашением служебной информации организации (нарушение конфиденциальности служебной информации, утечка) понимается ее распространение за пределы информационной системы, в которой обрабатывается такая информация, или за пределы круга лиц, которым эта информация доверена.

Можно выделить следующие способы разглашения информации.

— Отчуждение информации, которое состоит в несанкционированном и скрытном копировании небольших фрагментов или значительного массива служебной информации (например, множества документов или базы данных) за пределы области, установленной организацией для хранения этой информации с возможной последующей передачей информационного массива сторонним лицам. Отчуждение может осуществляться внутренним злоумышленником с использованием твердых копий документов (вынос документов, использование почтовой связи) или съемного (флеш-диски и другие портативные накопители) носителя информации, с использованием фото/видеоаппаратуры, а также проводных или беспроводных каналов связи и другими способами.

— Разглашение информации, известной инсайдеру в силу своего служебного положения, третьим лицам, а также предоставление таким лицам консультаций, рекомендаций и аналитических материалов. Такая деятельность может осуществляться в устной форме или путем подготовки инсайдером документа на основе информации, известной инсайдеру в силу своего служебного положения.


Можно выделить следующие способы получения инсайдером разглашаемой служебной информации:

— инсайдер не осуществляет специальный поиск разглашаемой информации, она стала известна ему в результате штатной деятельности из служебных документов и в результате общения с сотрудниками организации; данная информация необходима ему для исполнения служебных обязанностей;

— инсайдер обладает штатным доступом к служебной информации в качестве пользователя информационной системы и может осуществлять поиск необходимых ему материалов в информационной системе по их атрибутам, ознакомление с их содержимым и (или) копирование целиком или отдельными фрагментами;

— инсайдер не обладает штатным доступом к служебной информации, интересующей сторонних лиц, и запрашивает соответствующие дополнительные полномочия, мотивируя некоторой правдоподобной служебной необходимостью;

— инсайдер осуществляет несанкционированное получение информации, используя слабости системы разграничения доступа, осуществляя кражу носителей или оборудования, восстановление остаточной информации, используя специальную аппаратуру или программные средства для съема или перехвата информации, используя приемы социальной инженерии, идентификатор и прочие атрибуты безопасности другого пользователя, ошибки персонала и другие возможности;

— инсайдер выполняет обязанности администратора в информационной системе, а информация, обрабатываемая в данной системе, оказывается доступна ему для ознакомления или копирования как лицу с полномочиями системного администратора;

— инсайдер получает служебную информацию при устном неформальном общении с другими инсайдерами, обладающими такой информацией;

— инсайдер получает информацию путем анализа и обобщения фактов, фрагментов информации, полученных им из различных источников — штатным образом, путем наблюдения за поведением и общением субъектов, за распорядком деятельности и т. д.;

— инсайдер получает служебную информацию в результате сговора с другим инсайдером, получившим доступ к информации одним из перечисленных в настоящем перечне способов.


Разглашенная инсайдером служебная информация может быть объединением фрагментов информации, полученной различными способами из числа приведенных выше.

Фальсификация отчетности состоит в умышленном представлении ложных или искаженных отчетов по результатам некоторой деятельности. Собственно фальсифицируемые отчеты, могут относиться как к внутренней деятельности организации, так и к отношениям организации с внешними структурами (государственными органами, материнской компанией, дочерними компаниями, кредиторами).

По целям фальсификация отчетности может быть классифицирована следующим образом:

— сокрытие или, напротив, демонстрация неудовлетворительных показателей деятельности;

— демонстрация завышенных результатов деятельности для получение поощрения или дополнительного трудового вознаграждения;

— введение в заблуждение контрагентов организации;

— введение в заблуждение регулирующих и правоохранительных органов;

— сокрытие нарушений законов, требований регулирующих органов, внутренних нормативных актов организации.


Хищение (финансовых или материальных) активов — это совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение активов (принадлежащих организации, ее контрагентам, третьим лицам) в пользу злоумышленника или других лиц, причинившие ущерб лицам, обладающим правами в отношении данных активов (например, собственнику, арендатору, залогодержателю).

Хищение финансовых и материальных активов включает следующие категории преступлений:

— кража;

— присвоение и растрата активов;

— различные формы мошенничества, связанного с осуществлением основной, вспомогательной и управленческой деятельности в организации.


Наиболее распространены следующие формы мошенничества:

— мошенничество, связанное с отношениями с поставщиками;

— мошенничество, связанное с отношениями с клиентами;

— кредитное и инвестиционное мошенничество;

— вексельное мошенничество;

— мошенничество при использовании банковских гарантий и поручительств;

— мошенничество со счетами;

— вброс подложных или модификация корректных платежных документов;

— мошенничество с пластиковыми картами (фальшивые карты и операции);

— депозитное мошенничество;

— мошенничество, связанное с внутренней хозяйственной деятельностью организации, в частности, обязательствам по трудовым соглашениям.


Саботаж — это умышленное создание препятствий для осуществления некоторой деятельности организации, что уменьшает возможность реализации целей организации.

По целями саботажа инциденты могут быть классифицированы следующим образом:

— снижение репутации организации, например, компрометация качества определенных услуг, предоставляемых организацией, или иное нанесение ущерба отношениям организации с клиентами, например, с целью завладения клиентской базой организации;

— саботаж деятельности контрагентов организации;

— срыв, создание помех, манипулирование и оказание иных воздействий на управление, осуществление и результат некоторой бизнес-деятельности, вспомогательной деятельности или отдельного проекта организации, например, для получения конкурентами организации и иными субъектами рыночных отношений определенных преимуществ, создания условий, препятствующих обеспечению организацией своих законных прав;

— саботаж мер безопасности, используемых организацией, и создание уязвимостей с целью снижения защищенности информационных активов организации перед внешними и внутренними угрозами;

— сокрытие следов, создание ложных следов, ложных версий и иных помех для расследования некоторой противоправной деятельности;

— манипулирование рынками ценных бумаг путем создания «негатива» в связи с информацией о происшествии в организации;

— месть в отношении организации или отдельных сотрудников организации;

— экстремистские, террористические, политические и подобные цели.


Сокрытие правонарушения — это создание препятствий обнаружению и регистрации правонарушения.

Сокрытие правонарушений, в том числе различных видов корпоративных правонарушений может осуществляться в форме саботажа, фальсификации отчетности, а также в виде самостоятельного нарушения с использованием модификации, удаления, вброса информации или несанкционированной модификации программных и аппаратных средств.

Злоупотребление полномочиями — это использование инсайдером своих полномочий в целях извлечения не разрешенных организацией выгод и преимуществ для себя, что осуществляется путем выполнения или невыполнения каких-либо действий, связанных со служебными обязанностями инсайдера. К злоупотреблению полномочиями не относятся правонарушения, которые квалифицируются как хищение или саботаж.

В частности, к злоупотреблениям полномочиями относят:

— манипуляции, связанные с услугами, предоставляемыми организацией, например, создание необоснованных преимуществ или помех для определенных клиентов;

— манипуляции, связанные с закупками, осуществляемыми организацией, например создание необоснованных преимуществ для определенных поставщиков;

— манипуляция действиями организации в иных сферах ее деятельности (на различных рынках, в стратегическом планировании, в инвестиционных проектах, в сфере внутренней хозяйственной деятельности, в сфере и др.).