ЖЕЛАЮ УДАЧИ! 4.1. Виды угроз безопасности предприятия: понятия и классификация

4.МЕТОДЫ ВЫЯВЛЕНИЯ И ОЦЕНКИ УГРОЗ

БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

4.1. Виды угроз безопасности предприятия: понятия и классификация

В главе 1 за основу последующих разработок было принято определе­ние понятия «безопасность» в трактовке Закона [2] и отмечено, что первичным в этом определении является именно наличие угроз — со­вокупности условий и факторов, создающих опасность жизненно важ­ным интересам личности, общества и государства.

Кроме того что данное определение подкрепляет наш вывод о клю­чевой роли понятия угрозы в проблеме безопасности вообще, оно не противоречит трактовке угроз безопасности предпринимательства, в которой принято их подразделять на реальные и потенциальные, а те, в свою очередь, — на внешние и внутренние.

Авторы полагают, что наиболее четкое определение угрозы безопас­ности предпринимательства предложено в работе [81]: реально или потенциально возможные действия или условия преднамеренного или случайного (неумышленного) нарушения режима функциониро­вания предприятия путем нанесения материального (прямого или косвенного) ущерба, приводящего к финансовым потерям, включая и упущенную выгоду.

В данном определении сущность этого понятия можно несколько расширить. Если в самом общем виде представить некий объект, име­ющий свои цели, то под угрозой его безопасности будем понимать любой конфликт этих целей с внешней средой или внутренней струк­турой объекта и алгоритмами ее функционирования. При совпадении целей могут не совпадать пути их достижения, что тоже может являть­ся угрозой безопасности этого объекта. Или, другими словами, любое возмущение, внешнее или внутреннее, выводящее объект из состоя-

ния устойчивого равновесия, обеспечивающего его стабильное функ­ционирование и развитие, может трактоваться как угроза.

При этом нужно учитывать, что понятие «угроза» относительно. Условно говоря, для любой выбранной ситуации угроза может быть как со знаком плюс, так и со знаком минус — когда она становится возможностью для получения положительного результата.

Анализ возможных угроз начнем с фиксирования в определенный момент времени состояния объекта, при котором деятельность его эф­фективна и жизненно важные интересы сбалансированы. Под эффек­тивностью деятельности этого гипотетического объекта будем пони­мать устойчивость всей совокупности основных параметров текущей деятельности (например, значений выручки, прибыли, общей экономи­ческой рентабельности, оборачиваемости активов, ликвидности, чистой прибыли на акцию), достигаемые значения которых соответствуют принятым нормативам или отмечается устойчивая тенденция их роста.

Баланс жизненно важных интересов предприятия должен подразу­мевать соответствие располагаемого ресурсно-производственного по­тенциала (производственной мощности, активов, доли рынка, нали­чия стратегических зон хозяйствования, вида кривой жизненного цикла) формулируемым стратегическим целям его развития.

Такое состояние объекта не обязательно должно быть реальным. Речь может идти и о стадии проектирования предприятия. Тогда иссле­дованию будет подлежать модель предприятия (инвестиционный или организационный проект, бизнес-план), которая предусматривает его эффективное функционирование в будущем. Еще может оказаться, что необходимость обеспечения безопасности объекта возникает в резуль­тате появления такой функции его деятельности, которая ранее не пре­дусматривалась (например, производство нового вида продукции или оказание нового вида услуг). И тогда также можно говорить об опреде­ленной модели эффективного функционирования и развития.

Таким образом, уже на этапе анализа угроз возникает множество неопределенностей, условностей, допущений. Отсюда следует, что при проектировании службы безопасности необходимо учитывать ве­роятностный характер реализации угроз.

Надо сказать, что в некоторых публикациях последних лет освещен ряд подходов к классификации и оценке возможных угроз — как на концептуальном уровне [28, 32, 51, 61], так и на примере конкретных объектов [28, 61]. В том числе с использованием математических ме­тодов [17, 18, 48, 71]. Все же математическая оценка вероятностного характера угроз еще недостаточно широко используется в проектиро-

вании систем защиты объектов, и необходимость ее упоминается лишь в незначительном числе работ (например, [19, 64, 66, 67]). И это не­смотря на то, что соответствующий математический аппарат для по­добных расчетов достаточно разработан (в частности, [71]).

В своей систематизации мы будем использовать следующие при­знаки, встречающиеся в наиболее известных классификациях: виды угроз, их объекты — направления, субъекты — источники, методы и средства защиты от них.

По видам угрозы чаще всего подразделяют на два основных класса:

1) естественные (объективные);

2) искусственные (субъективные).

Естественные угрозы вызываются стихийными природными явле­ниями (землетрясениями, наводнениями, ураганами). Искусствен­ные угрозы вызваны деятельностью человека. Они могут иметь не­преднамеренный или, наоборот, преднамеренный характер.

Непреднамеренные (непредумышленные) угрозы вызываются ошибками, например в проектировании производственных систем или в их эксплуатации. Субъектов таких угроз принято называть на­рушителями. Недостаточная квалификация или нарушение ими дол­жностных инструкций могут вызвать такие проявления непреднаме­ренных угроз:

• травмы и гибель людей;

• повреждение оборудования, линий связи, каналов жизнеобеспе­чения;

• нерациональное изменение технологий;

• нерегламентированное использование технических средств, до­кументов, компьютерных программ;

• разглашение конфиденциальной информации;

• некомпетентное использование, некорректную настройку или неправомерное отключение персоналом средств защиты службы безопасности.

В классификации угроз по объектам особое значение имеют инфор­мационные угрозы. Здесь может быть использована классификация умышленных информационных угроз, отвечающая требованиям без­опасности автоматизированных систем обработки информации (АСОИ) и приведенная в работе [34] (табл. 4.2).

Приведенная классификация информационных угроз применима и для других объектов защиты, так как она позволяет адекватно диффе­ренцировать по этим объектам сами угрозы и их источники.

В классификации угроз безопасности информации по субъектам — источникам они могут подразделяться на три группы: антропогенные, техногенные и стихийные.

Группа антропогенных источников угроз представляется:

• криминальными структурами, рецидивистами и потенциальны­ми преступниками;

• недобросовестными партнерами и конкурентами;

• персоналом предприятия (банка и его филиалов). В свою очередь, злоумышленные действия персонала предприятия можно разделить на четыре категории:

1) прерывание — прекращение обработки информации, например вследствие разрушения вычислительных средств. Такого рода действия могут иметь серьезные последствия для безопасности деятельности предприятия, даже если информация не подверг­нется серьезным искажениям;

2) кража — чтение или копирование информации, хищение носите­лей информации с целью получения данных, которые могут быть использованы против интересов владельца (собственника) ин­формации;

3) модификация информации — внесение в данные несанкциониро­ванных изменений, направленных на причинение ущерба вла­дельцу (собственнику) информации;

^разрушение данных — необратимое изменение информации, при­водящее к невозможности ее использования. К техногенным источникам угроз относятся некачественные тех­нические и программные средства обработки информации, средства связи, охраны, сигнализации, другие технические средства, применяе­мые в учреждении, а также глобальные техногенные угрозы (опасные производства, сети энерго-, водоснабжения, транспорт).

Таблица 4.2 Классификация информационных угроз