Модель угроз и обеспечения безопасности. Оценка угроз для бизнеса, план для «чрезвычайных ситуаций». Политика безопасности, форма представления, роль руководства

Обеспечение безопасности бизнеса — это системная работа по
своевременному выявлению, предупреждению, пресечению самих замыслов
угроз у преступников, конкурентов, персонала компании. То есть всех, кто
может нанести материальный или имиджевый ущерб предприятию. Поэтому
«угроза» становится ключевым понятием в работе службы безопасности.
Угроза безопасности компании — это потенциально или реально
возможное событие, процесс, действие или явление, которое способно
нарушить ее устойчивость и развитие или привести к остановке
деятельности. 
Характеристики угроз
Источники агрессии могут быть внешними или внутренними. При
выявлении угроз следует руководствоваться следующими признаками
(сигналами):
- Реальность угроз.
- Суть противоречий (причин), породивших угрозу.
- Острота этих противоречий (причин).
- Источник угрозы (внутренний, внешний).
- Оценка сил и средств, которыми может располагать источник угроз.
- Собственные возможности для предотвращения или пресечения
угрозы.
После выявления угрозы наступает этап разработки мер по
локализации или ее минимизации.
Типы внешних угроз  Типы внутренних угроз
Угрозы, исходящие от
криминальной среды

От внутренних угроз не
застрахована ни одна коммерческая
структура. В большей или меньшей
степени они могут проявляться в
любой компании:

Угрозы, исходящие от
недобросовестных партнеров или
конкурентов

Угрозы со стороны персонала
компании

Агрессии, направленные на
захват предприятия 

Угрозы, связанные с
организационной
незащищенностью бизнеса 

Агрессии со стороны средств
массовой информации (черные PR-
акции) 

Угрозы, связанные с
неэффективным управлением и
организацией бизнес-процессов 

Угрозы, исходящие со стороны
государственных структур 

Угрозы, связанные с
эксплуатацией технических средств
и средств автоматизации 

Риски при проведении
гражданско-правовых отношений
с контрагентами

Компьютерная агрессия   
Риски, связанные с
политическими, экономическими,
социальными и правовыми
процессами в государстве и мировом

сообществе 
Риски, связанные с природным и
техногенным фактором 

Террористическая угроза   

Причины возникновения внутренних и внешних угроз
Рассмотрим 17 распространенных причин возникновения внешних и
внутренних угроз для компании. В реальности их гораздо больше.
Причины возникновения внешних угроз
- Кризисные явления в экономике.
- Кризисные явления в общественной и политической жизни партнеров,
работающих за пределами РФ
- Недобросовестная конкуренция.
- Непрогнозируемые изменения конъюнктуры рынка
- Форс-мажор.
- Чрезвычайные ситуации.
- Произвол чиновников государственных структур.
- Неблагоприятная для частного бизнеса экономическая политика
государства либо отдельных его регионов.
- Несогласованность нормативных актов федеральных местных органов
исполнительной власти.
- Попытки агентурного или технического проникновения в
коммерческие, технологические и производственные тайны предприятия
(промышленный шпионаж). Сейчас все чаще на предприятиях действуют
инсайдеры, которые передают информацию тем, кто их устроил на
предприятие, или инициаторы — сотрудники, по собственной инициативе
собирающие конфиденциальные данные для заинтересованных сторон. 
- Несанкционированное проникновение в автоматизированную систему
банка данных коммерческого предприятия.
- Безналичная форма расчетов и платежей с использованием
незащищенных компьютерных программ. Бывает, что руководитель доверяет
ключи электронной подписи главному бухгалтеру, который может перевести
деньги любой организации. 
- Отсутствие комплексных программ по обеспечению безопасности
бизнеса. Слабая ресурсная поддержка имеющихся программ по обеспечению
безопасности бизнеса.
Причины возникновения внутренних угроз
- Конфликты на предприятии: борьба за руководящую должность,
распределение «теневых» доходов, перераспределение долей участия,
психологическая несовместимость, клановость и местничество.
- Некомпетентность руководства.
- Персонал компании.
Классификация сотрудников
Восемь преступлений из десяти происходит с участием работников.
Чтобы определить степень риска, связанного с каждым сотрудником,
используют классификатор — концепцию риска:
- Пониженный риск
Сотрудники, которые вряд ли пойдут на компрометацию своей чести и
достоинства, обычно в компании их 10% (российская статистика в этом
случае соответствует общемировой). Они чувствительны к общественному
мнению, дорожат своей репутацией.
- Допустимый риск
Люди, которые могли бы при определенных условиях впасть в
искушение, но по своим убеждениям близки первой группе. Они не пойдут
на правонарушение, если будут обеспечены соответствующие меры
контроля. Их около 80% и именно с ними нужно проводить постоянную
профилактическую работу. 
- Высокий риск
Опасные преступники. Они будут создавать условия для хищения даже
при жестких мерах контроля в компании. Их также 10%. 
Базовые угрозы
Эксперты выделяют пять групп базовых угроз, которые связаны с
конкурентной борьбой, человеческим фактором, деятельностью государства
(коррупция, несовершенство законодательства, административный ресурс,
проводимая политика), организованной преступностью, а также
техногенными и природными факторами.
Классификация угроз предпринимательской деятельности
Физические Преднамеренные — кражи, нападения,
взломы, проникновение на территорию.
Непреднамеренные — природные и
техногенные.

Информационные  Преднамеренные (внутренние и
внешние) и непреднамеренные
(некомпетентность пользователя, ошибки при
разработке программного обеспечения,
халатность персонала, отказ технических
средств).   

Юридические  Целенаправленные (заведомо
неправильное оформление договоров,
документов) и субъективные.  

Экономические  Преднамеренные (недобросовестная
конкуренция, демпинг, промышленный
шпионаж) и объективные (инфляция
конкуренция, экономический кризис,
санкции). 
Степень вероятности
По степени вероятности угроза оценивается как реальная (вероятность
может быть подсчитана исходя из статистики, экспертными методами,
методами группового SWOT-анализа) или потенциальная. Отдаленность
угрозы во времени делят на непосредственные, близкие (до одного года) и
далекие (свыше одного года), в пространстве — на территории компании, на
прилегающей территории, в стране и за границей.
Природа возникновения
По природе возникновения угрозы делятся на естественные
(объективные, например, природные явления) и искусственные
(субъективные, вызванные деятельностью человека). Субъективные угрозы
могут быть преднамеренными и непреднамеренными). 
Степени развития и этапы борьбы с угрозой
Во время развития угрозы проходят четыре этапа: они возникают,
расширяются, стабилизируются, после чего происходит их ликвидация.
Борьба с угрозами проходит в пять этапов:
- Определение угрозы. 
- Определение вариантов реализации угрозы, формирование модели
потенциального нарушителя.
- Определение вероятности наступления события.
- Определение возможного ущерба от угрозы.
- Создание системы защиты от угрозы, включая превентивные меры
(предотвращение и профилактику).
Система защиты от угроз
Система защиты от угроз включает в себя предотвращение,
обнаружение и ликвидацию последствий. При оценке угроз безопасности
применяют теорию надежности (для угроз, создаваемых техническими
средствами — сбои, отказы, ошибки), математическую статистику
(например, стихийные бедствия), теорию вероятности (для описания угроз,
создаваемых сотрудниками по халатности, небрежности), экспертные методы
(для описания умышленных угроз). Основными методами, которые
применяют корпоративные службы безопасности, являются экспертные
методы — с их помощью можно оценить практически любые риски. 
Нужно понимать, что проблема рано или поздно возникнет, в том или
ином виде или процессе, и стремиться их предотвратить. Такой проблемой
может стать пожар, поломка важного оборудования, отсутствие больного
сотрудника на работе, авария, хищение, мошенничество. 
Управление безопасностью равно управлению рисками. Анализ рисков
включает классификацию ресурсов (что надо защищать), анализ угроз (от
чего надо защищать), анализ уязвимостей (как надо защищать). При этом
формула риска такова:
Риск = возможный ущерб * вероятность реализации угрозы
После его подсчета разрабатывается план защиты, который учитывает
организационные и технические меры. 
Как обосновать бюджет на безопасность
Управлять проблемами предприятия поможет риск-менеджмент.
Служба безопасности должна анализировать и рассчитывать риски,
выстраивая всю систему работы на основе данных. Чтобы обосновать
бюджет службы, директор по безопасности должен уметь оценивать риски и
составлять карты рисков, в которых планируются мероприятия по их
минимизации, а также закладываются средства на борьбу с ними.
Политика информационной безопасности
Под политикой безопасности организации понимают совокупность
документированных управленческих решений, направленных на защиту
информации и ассоциированных с ней ресурсов. Политика безопасности
является тем средством, с помощью которой реализуется деятельность в
компьютерной информационной системе организации. Вообще политики
безопасности определяются используемой компьютерной средой и отражают
специфические потребности организации.
Обычно корпоративная информационная система представляет собой
сложный комплекс разнородного, иногда плохо согласующегося между
собой аппаратного и программного обеспечения: компьютеров,
операционных систем, сетевых средств, СУБД, разнообразных приложений.
Все эти компоненты обычно обладают собственными средствами защиты,
которые нужно согласовать между собой. Поэтому очень важна эффективная
политика безопасности в качестве согласованной платформы по обеспечению
безопасности корпоративной системы. По мере роста компьютерной системы
и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в
системе слабых мест, поскольку все усилия по защите информации могут
быть обесценены лишь одной оплошностью. Можно построить такую
политику безопасности, которая будет устанавливать, кто имеет доступ к
конкретным активам и приложениям, какие роли и обязанности будут иметь
конкретные лица, а также предусмотреть процедуры безопасности, которые
четко предписывают, как должны выполняться конкретные задачи
безопасности. Индивидуальные особенности работы сотрудника могут
потребовать доступа к информации, которая не должна быть доступна
другим работникам. Например, менеджер по персоналу может иметь доступ
к частной информации любого сотрудника, в то время как специалист по
отчетности может иметь доступ только к финансовым данным этих
сотрудников. А рядовой сотрудник будет иметь доступ только к своей
собственной персональной информации.
Политика безопасности определяет позицию организации по
рациональному использованию компьютеров и сети, а также процедуры по
предотвращению и реагированию на инциденты безопасности. В большой
корпоративной системе может применяться широкий диапазон разных
политик от бизнес-политик до специфичных правил доступа к наборам
данных. Эти политики полностью определяются конкретными
потребностями организации.

Основные понятия политики безопасности
Политика безопасности определяет стратегию управления в области
информационной безопасности, а также ту меру внимания и количество
ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые
признаются реальными для информационной системы организации. Когда
проведен анализ рисков и определена стратегия защиты, составляется
программа, реализация которой должна обеспечить информационную
безопасность. Под эту программу выделяются ресурсы, назначаются
ответственные, определяется порядок контроля выполнения программы и т.п.
Для того чтобы ознакомиться с основными понятиями политик
безопасности рассмотрим в качестве конкретного примера гипотетическую
локальную сеть, принадлежащую некоей организации, и связанную с ней
политику безопасности. Политика безопасности организации должна иметь
структуру краткого, легко понимаемого документа высокоуровневой
политики, поддерживаемого рядом более конкретных документов
специализированных политик и процедур безопасности. Высокоуровневая
политика безопасности должна периодически пересматриваться, чтобы
гарантировать, что она учитывает текущие потребности организации. Этот
документ составляют таким образом, чтобы политика была относительно
независимой от конкретных технологий. В таком случае этот документ
политики не потребуется изменять слишком часто.
Политика безопасности обычно оформляется в виде документа,
включающего такие разделы, как описание проблемы, область применения,
позиция организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы
Информация, циркулирующая в рамках локальной сети, является
критически важной. Локальная сеть позволяет пользователям совместно
использовать программы и данные, что увеличивает угрозу безопасности.
Поэтому каждый из компьютеров, входящих в сеть, нуждается в более
сильной защите. Эти повышенные меры безопасности и являются темой
данного документа. Документ преследует следующие цели:
продемонстрировать сотрудникам организации важность защиты сетевой
среды, описать их роль в обеспечении безопасности, а также распределить
конкретные обязанности по защите информации, циркулирующей в сети.
Область применения
В сферу действия данной политики попадают все аппаратные,
программные и информационные ресурсы, входящие в локальную сеть
предприятия. Политика ориентирована также на людей, работающих с сетью,
в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации
Целью организации является обеспечение целостности, доступности и
конфиденциальности данных, а также их полноты и актуальности. Более
частными целями являются:
- обеспечение уровня безопасности, соответствующего нормативным
документам;
- следование экономической целесообразности в выборе защитных мер
(расходы на защиту не должны превосходить предполагаемый ущерб от
нарушения информационной безопасности);
- обеспечение безопасности в каждой функциональной области
локальной сети;
- обеспечение подотчетности всех действий пользователей с
информацией и ресурсами;
- обеспечение анализа регистрационной информации;
- предоставление пользователям достаточной информации для
сознательного поддержания режима безопасности;
- выработка планов восстановления после аварий и иных критических
ситуаций для всех функциональных областей с целью обеспечения
непрерывности работы сети;
- обеспечение соответствия с имеющимися законами и
общеорганизационной политикой безопасности.

Распределение ролей и обязанностей
За реализацию сформулированных выше целей отвечают
соответствующие должностные лица и пользователи сети.
Руководители подразделений отвечают за доведение положений
политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное
функционирование сети и отвечают за реализацию технических мер,
необходимых для проведения в жизнь политики безопасности.
Администраторы сервисов отвечают за конкретные сервисы и, в
частности, за то, чтобы защита была построена в соответствии с общей
политикой безопасности.
Пользователи обязаны работать с локальной сетью в соответствии с
политикой безопасности, подчиняться распоряжениям лиц, отвечающих за
отдельные аспекты безопасности, ставить в известность руководство обо
всех подозрительных ситуациях.
Более подробные сведения о ролях и обязанностях должностных лиц и
пользователей сети приведены ниже.
Санкции
Нарушение политики безопасности может подвергнуть локальную сеть
и циркулирующую в ней информацию недопустимому риску. Случаи
нарушения безопасности со стороны персонала должны оперативно
рассматриваться руководством для принятия дисциплинарных мер вплоть до
увольнения.

Список использованных источников
1. Доктрина информационной безопасности РФ. Утверждена Президентом
РФ 9.09.2018.
2. Абалмазов Э.И. Методы и инженерно-технические средства
противодействия информационным угрозам .- М.: Компания "Гротек", 2019.
3. Герасименко В.А. Защита информации в автоматизированных системах
обработки данных: В 2-х кн. - М.: Энергоатомиздат, 2020. - 176 с.
4. Гундарь К.Ю. Защита информации в компьютерных системах - К.:»
Корнейчук», 2019. К. Ю. Гундарь, А. Ю. Гундарь, Д. А. Янышевский.
5. Девянин П.Н. Теоретические основы компьютерной безопасности:
Учебное пособие для вузов - М.: Радио и связь, 2019. П. Н. Девянин, О. О.
Михальский, Д. И.Правиков, А. Ю. Щербаков.
6. Мещеряков В.А. Методическое обеспечение обоснования требований к
системам защиты информации от программно- математического воздействия
в автоматизированных информационных системах критического применения
Безопасность информационных технологий Выпуск 2, 2018, МИФИ. В. А.
Мещеряков, С. А. Вялых, В. Г. Герасименко.
7. Мещеряков В.А К вопросу идентификации компьютерных преступлений.
Прикладные вопросы цифровой об работки и защиты информации.
Межвузовский сборник научных трудов ВВШМ и ВГТУ. Воронеж 2018.В. А.
Мещеряков, М. Г. Завгородний, С. В. Скрыль, В. И. Сумин.