отчетности, ухудшающей их статус в организации;
б) наличие стохастической составляющей (областей неформализованной деятельности), исключающей какие-либо формы контроля за деятельностью;
в) несовершенство ролей, ответственностей и организационных политик в организации и связанная с ними инсайдерская деятельность;
г) злоумышленная активность персонала;
д) противоборство организации за заимствуемые ресурсы c внешними субъектами;
е) организационное, функциональное и информационное несовершенство информационной сферы организации;
ж) слабости менеджмента в части накопления, обобщения, применения опыта для достижения целей организации;
з) неспрогнозированные изменения негативно влияющих факторов внешней среды, которые привели к увеличению базовых рисков.
Ситуация усугубляется тем, что значительная часть злоумышленников думает вовсе не о нанесении ущерба организации, а только о своей выгоде, и тем, что их деятельность может наносить ущерб третьим лицам, а не организации напрямую; может влиять негативно на какой-нибудь консолидированный показатель типа эффективности деятельности, наступление ущерба от которого солидарно распределяется между всеми участвующими субъектами, что крайне затрудняет идентификацию.
Совершенно понятно, что любой субъект, создающий для своей организации проблемы ИБ, будет препятствовать своей идентификации, создавая (или используя) различные неопределенности. Для этого у него есть целый ряд возможностей. Например, он может:
а) действовать в рамках чужих либо «ничьих» полномочий (ролей);
б) найти в рамках своих штатных полномочий различные непредусмотренные дополнительные возможности и их использовать;
в) исследовать структуру деятельности организации, обнаружить там условия возникновения коллизии (когда все действуют штатно, но возникает событие ИБ) и их инициировать в нужное ему время.
Самый простой и понятный способ идентификации событий ИБ основывается на предварительном анализе и фильтрации всех контролируемых в организации событий по принципу предопределенности в интерпретации события. Например, события, связанные с выявлением проникновения и тем более запуском вредоносного программного кода (вирусов). Очевидно, что иных целей, кроме злоумышленных, тут не может быть. То же можно сказать и о любых нарушениях в используемых технологиях на основе секрета (PIN-коды, пароли, криптографические ключи и т. д.). Нарушения в этой сфере могут содержать признаки злоумышленной активности. Можно указать также на процессы и технологии, связанные с отчуждением информации или получением прав доступа к ней, и на процедуры (процессы) контроля информации (особенно прикладными системами). Например, отбраковка первичного документа приложением «1С-Бухгалтерия» может указать на признаки злоумышленной активности при создании
