– ошибки восприятия, чтения, интерпретации содержания информации, соблюдения правил, ошибки как результат неумения, оплошности, наличие помех, сбоев и искажений отдельных элементов и знаков или сообщения;
– ошибки эксплуатации: нарушение защиты, переполнение файлов, ошибки языка управления данными, ошибки при подготовке и вводе информации, ошибки операционной системы, программирования, аппаратные ошибки, ошибки толкования инструкций, пропуск операций и др.;
– концептуальные ошибки внедрения;
– злонамеренные действия в материальной сфере;
– болтливость, разглашение; – убытки социального характера (уход, увольнение, забастовка и др.).
Информационный ущерб в ряде случаев может быть оценен в зависимости от вида потерь. Это могут быть:
– потери, связанные с компенсацией или возмещением утраченных, похищенных материальных средств, которые включают:
• стоимость компенсации возмещения другого косвенно утраченного имущества;
• стоимость ремонтно-восстановительных работ;
• расходы на анализ и исследование причин и величины ущерба;
• другие расходы;
– дополнительные расходы на персонал, обслуживающий технические средства обработки конфиденциальной информации, восстановление информации, возобновление работы информационных систем по сбору, хранению, обработке, контролю данных, в том числе расходы:
• на поддержку информационных ресурсов ТСОИ;
• обслуживающий персонал, не связанный с обработкой информации;
• специальные премии, расходы на перевозку и др.;
– эксплуатационные потери, связанные с ущербом банковских интересов или финансовыми издержками, потерей клиентов, заказчиков, требующие дополнительных расходов на восстановление: банковского доверия; размеров прибыли; утерянной клиентуры; доходов организации и др.;
• утрата фондов или порча имущества, не подлежащего восстановлению, которые снижают финансовые возможности (деньги, ценные бумаги, денежные переводы и др.);
• расходы и потери, связанные с возмещением морального ущерба, обучением, экспертизой и др.
Анализируя количественные данные потерь, можно сделать вывод о том, что убытки от злонамеренных действий, и особенно от экономического шпионажа, непрерывно возрастают и являются наиболее значимыми. Выводы западных экспертов показывают, что утечка 20 % коммерческой информации в 60 случаях из 100 приводит к банкротству фирмы.
Подводя итоги краткому анализу существующих угроз конфиденциальной информации, можно выделить два направления воздействия угроз, снижающих безопасность информации.
Первое, традиционно сложившееся в рамках защиты конфиденциальных сведений, представляет собой воздействия, способствующие несанкционированному доступу к этим сведениям. Второе, сложившееся в рамках широкого понимания проблем ИБ, связано с использованием современных технических и организационных систем, а также с участием людей, коллективов людей и общества в целом и их подверженностью внешним, негативным информационным воздействиям.
Так, теоретически доказано, а практикой многократно подтверждено то, что психика и мышление человека подвержены внешним информационным воздействиям и при их надлежащей организации возникает возможность программирования поведения человека. Более того, в последнее время ведутся разработки методов и средств компьютерного проникновения в подсознание, для того чтобы оказывать на него глубокое воздействие. Поэтому актуальной является проблема не только защиты информации, но и защиты от разрушающего воздействия информации, приобретающей международный масштаб и стратегический характер. В силу изменения концепции развития стратегических вооружений, определяющей, что вооруженное решение мировых проблем становится невозможным, все более прочно входит в обиход понятие информационной войны. Сейчас эффективность наступательных средств информационной войны, информационного оружия превосходит эффективность систем защиты информации.
Представляют интерес угрозы утраты охраняемых сведений в ходе информационных процессов, участники которых представляют противоположные интересы. Анализ этих угроз позволил выявить ряд их характерных признаков. В большинстве случаев активные действия сторон вполне осознанны и целенаправленны. К таким действиям относятся:
– разглашение конфиденциальной информации ее обладателем;
– утечка информации по различным, главным образом техническим, каналам;
– несанкционированный доступ к конфиденциальной информации различными способами.
Разглашение информации – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе, приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, при обсуждении, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права доступа к охраняемым секретам. Разглашение информации может происходить по многим каналам, в том числе через почтовые отправления, радио, телевидение, печать и т. п. Разглашение возможно в ходе деловых встреч, бесед, при обсуждении совместных работ, в договорах, в письмах и документах, деловых встречах и др. В ходе таких мероприятий партнеры ведут интенсивный обмен информацией. Именно при общении между ними устанавливаются "доверительные" отношения, приводящие к оглашению коммерческих секретов.
Как правило, факторами, способствующими разглашению конфиденциальной информации, являются:
– слабое знание (или незнание) требований по защите конфиденциальной информации;
– ошибочность действий персонала из-за низкой производственной квалификации;
– отсутствие системы контроля за оформлением документов, подготовкой выступлений, рекламы и публикаций;
– злостное, преднамеренное невыполнение требований по защите коммерческой тайны.
Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу.
Утечку информации в общем виде можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена. При этом природа утечки охраняемой информации характеризуется как обстоятельствами происхождения, так и причинами, условиями возникновения утечки.
Неправомерному овладению конфиденциальной информацией вследствие неудовлетворительного управления персоналом со стороны должностных лиц, организаций и ведомств способствует наличие следующих обстоятельств:
– склонность сотрудников организации к излишней разговорчивости – 32 %;
– стремление сотрудников зарабатывать деньги любыми способами и любой ценой – 24 %;
– отсутствие в фирме службы безопасности – 14 %; – привычка сотрудников делится друг с другом информацией о своей служебной деятельности – 12 %;
– бесконтрольное использование в фирме информационных систем – 10 %;
– предпосылки возникновения конфликтных ситуаций в коллективе вследствие отсутствия психологической совместимости сотрудников, случайного подбора кадров, отсутствия работы руководителя по сплочению коллектива и др. – 8 %.
Также утечка охраняемой информации обусловлена наличием соответствующих условий, связанных: