Почему свои сотрудники являются самой массовой категорией нарушителей безопасности?

Пользователи системы и её персонал, с одной стороны, являются составной частью, необходимым элементом АС. С другой стороны, они же являются основным источником угроз и движущей силой нарушений и преступлений.
На следующей диаграмме приведены результаты анализа нарушений и проблем с ИТ, проведённого Институтом компьютерной безопасности (Computer Security Institute).

o Ошибки персонала (55%)

o Нечестные сотрудники (10%)

o Обиженные сотрудники (9%)

o Отказы и сбои в работе ТС, включая проблемы электропитания (20%)

o Вирусы (4%)

o Внешние нападения (2%)

Как видно, более половины (55%) проблем возникает из-за ошибок пользователей и обслуживающего персонала системы. К этому надо добавить нарушения со стороны обиженных (9%) и нечестных (10% нарушений) сотрудников организаций.

Согласно одному из последних обзоров аналитического подразделения журнала The Economist, информационная безопасностьявляется одной из самых приоритетных проблем для 78% из 254 опрошенных по всему миру первых лиц компаний. Респонденты признавали, что большую часть проблем создают сами сотрудники корпораций. По статистике опроса, источник 83% проблем с безопасностью находится внутри компании.

Сотрудники Компании являются самой массовой категорией нарушителей в силу их многочисленности, наличия у них санкционированного доступа на территорию, в помещения и к ресурсам системы, разнообразия мотивов совершения разного рода небезопасных действий. Причём подавляющее большинство нарушений со стороны сотрудников носит неумышленный характер. Однако, ущерб, который они при этом наносят Компании, весьма значителен. Именно поэтому борьба с ошибками пользователей и обслуживающего персонала АС является одним из основных направлений работ по обеспечению безопасности.

Итак, цель защиты ИТ - это минимизация рисков для субъектов. Защита (обеспечение безопасности) ИТ - это непрерывный процесс управления рисками, связанный с выявлением информационных активов (ценностей), подлежащих защите, определением стоимости этих активов, размеров ущерба и риска, разработкой плана действий по защите и выбором технологий, реализующих этот план.

На практике это означает сведение всех значимых для субъектов угроз к допустимому (приемлемому) уровню остаточного риска, и защиту наиболее важных (критичных) информационных ресурсов исходя из существующих возможностей и предоставленных финансовых средств.

Выводы

Уязвимыми являются буквально все основные структурно - функциональные элементы современных АС. Защищать компоненты АС необходимо от всех видов воздействий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий злоумышленников.

Имеется широчайший спектр вариантов (путей) преднамеренного или случайного несанкционированного доступа к данным и вмешательства в процессы обработки и обмена информацией (в том числе, управляющей согласованным функционированием различных компонентов сети).

Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. характеристики - важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.

Обеспечение безопасности ИТ - это многоплановая деятельность, связанная с выявлением информационных активов (ценностей), подлежащих защите, определением стоимости этих активов, размеров ущерба и риска, разработкой плана действий по их защите и выбором технологий, реализующих этот план.