Угрозы экономической безопасности предприятия

Не вдаваясь в теорию системного анализа, воспользуемся некоторыми общими принципами описания сложных систем и попытаемся проанализировать одну из существующих классификаций угроз ИБ в сопоставлении с ЭБ. Зафиксируем понятие: угроза - постоянно существующая объективная реальность, потенциально направленная на нарушение свойств [объекта] системы, уровень опасности которой не зависит от усилий по обеспечению безопасности.

Многоуровневое определение угроз безопасности основано на описании ряда соответствий:

• структуре [информационной] системы (ИС),
• требований по безопасности [информационных] технологий (ИТ),
• мерам противодействия угрозам,
• задачам по реализации мер противодействия.

Классификация угроз безопасности устанавливает основные признаки (атрибуты) угроз:

• множество структурных составляющих ИС,
• требования по противодействию и меры противодействия,
• наличие уязвимостей системы и категории потерь,
• объект, место и время реализации,
• возможность прогнозирования и предотвращения,
• источники и причины происхождения и способы реализации,
• вероятность реализации,
• и т.д..

В описаниях угроз ИБ и программных средствах их оценки, широко представленных на рынке зарубежными и отечественными разработчиками, используются классификации и алгоритмы, основанные на распространенных в методиках, стандартах и руководящих документах, имеющие, как правило, отраслевой или законодательный "крен" и напрасно не отражающие специфику угроз верхнего уровня ЭБ. Оставим без внимания "оранжевую книгу", "общие критерии" и классификацию угроз безопасности по Digital Security и прочее - все они имеют право на жизнь как достойные решения конкретных задач и сыгравшие значительную роль в теоретизации проблем безопасности различных уровней и в разработке инструментальных средств по их реализации. Для разработки модели угроз ИБ/ЭБ предпочтительно иметь более универсальную классификационную базу, не применяя классы, несвойственные частной модели, поэтому при дальнейшем рассмотрении темы вопроса используем наиболее подходящую классификацию угроз ЭБ с некоторыми дополнениями в сопоставлении с угрозами ИБ.

Подобное сопоставление разных уровней обеспечения безопасности бизнеса не лишено недостатков, поэтому определим некоторые начальные условия:

• принципы классификации едины с точки зрения теории системного анализа
• детализация классов, факторов, признаков и их атрибутов - отдельная тема
• заметка не претендует на полноту, не призывает к дискуссии и отражает частное мнение автора.

Все факторы риска, опасности и угрозы могут быть сгруппированы по различным классификационным признакам

по возможности прогнозирования:

• прогнозируемые - возникающие при известных обстоятельствах, выявленные из прошлого опыта и обобщенные отраслевой наукой и закрепленные в законах, стандартах, руководящих технических материалах и иных нормативных документах;
• непредсказуемые - форс-мажорные обстоятельства, технологические достижения и открытия, и иные, неизбежные по существу.

по источнику происхождения:

• объективные возникают без участия и помимо воли субъектов системы - состояние рыночной конъюнктуры, технологические достижения и открытия, форс-мажорные обстоятельства и т. д.;
• субъективные - умышленные или неумышленные действия людей, органов власти и государственных организаций, конкурентная борьба, преступность и иные, влияющие на экономические отношения предприятия на рынке.

по возможности предотвращения:

• форс-мажорные отличаются непреодолимостью воздействия (природные катаклизмы, техногенные катастрофы, войны, эпидемии, которые заставляют решать и действовать вопреки намерению) и представляют особую сложность предотвращения бюджетными средствами;
• предотвратимые могут быть предусмотрены на стадии планирования бизнеса, процессов и технологий для минимизации или полного предотвращения возможного ущерба в случае реализации фактора риска.

по вероятности наступления:

• явные, очевидные, обусловленные рыночными (экономическими и юридическими) законами;
• латентные - неявные, временно скрытые и трудно обнаруживаемые. их проявление или непроявление может быть обусловлено экономической конъюнктурой, следствием макроэкономических явлений, а также конкурентной борьбой и способами ее ведения. внезапность их проявления может иметь субъективный характер и трудно прогнозируема даже при известной вероятности наступления.

по природе их возникновения::

• экономические - конъюнктурные (рыночные) изменения;
• политические - смена власти, введение эмбарго;
• правовые - законодательное регулирование деятельности, лицензирование, таможня;
• техногенные - аварии и катастрофы, истощение ресурсов;
• экологические - истощение ресурсов, климатические изменения;
• конкурентные - "черный" PR, недобросовестная конкуренция;
• контрагентские - неисполнение обязательств, мошенничество;;
• и др..

по значимости или существенности ущерба:

• несущественные - не влияющие на рыночное состояние компаний;
• существенные - потеря значительной части материальных и финансовых ресурсов;
• значительные - утрата конкурентных преимуществ, возможно банкротство;
• катастрофические - невозможно продолжение хозяйственной деятельности, неизбежное банкротство.

по степени вероятности:

• невероятные - при крайне низкой вероятности совпадения обстоятельств возникновения угрозы;
• маловероятные - не требуют планирования превентивных мер как разновидность форс-мажорных обстоятельств;
• вероятные - слабо прогнозируемые, требующие планирование в зависимости от значимости ущерба;
• весьма вероятные - прогнозируемые, планируемые и обеспеченные бюджетом;
• неизбежные - легко прогнозируемые, обусловленные природой возникновения, планируемые и обеспеченные бюджетом.

по признаку их осуществления во времени:

• непосредственная - с определенной вероятностью осуществления;
• близкая (до 1 года) - прогнозируемая и планируемая;
• далекая (свыше 1 года) - не предусматривается текущим бюджетом.

по признаку их осуществления в пространстве:

• на территории предприятия;
• на территории, прилегающей к предприятию;
• на территории региона;
• на территории страны;
• на зарубежной территории.

по способам осуществления:

• промышленный шпионаж;
• хищение;
• вербовка и подкуп персонала;
• психологическое воздействие на персонал;
• технологический доступ;
• другие.

по сфере возникновения:

• внутренние факторы связаны с хозяйственной деятельностью предприятия и его персонала. Обусловлены бизнес-процессами и оказывающие влияние на результаты хозяйственной деятельности - форма и качество управления предприятия, соблюдение технологий, организация труда и социальной сферы персонала и многие другие;
• внешние возникают за пределами предприятия, связаны с конъюнктурой рынка и средой функционирования предприятия, изменение которых могут привести к возникновению ущерба - социально-экономические, политические, юридические, технологические, криминалистические и другие.

Класс угроз в сфере возникновения получил широкое распространение как наиболее очевидный и прогнозируемый и широко применяемый при первичном анализе угроз ИБ/ЭБ. В упомянутом выше источнике подробно рассмотрены угрозы ЭБ, но обратите внимание на их соответствие, за небольшим исключением, угрозам ИБ:

"Под влиянием окружающей среды, различного рода факторов могут возникнуть многие десятки внешних опасностей и угроз экономической безопасности предприятия. К ним можно отнести: неблагоприятное изменение политической ситуации; макроэкономические потрясения (кризисы, нарушение производственных связей, инфляция, потеря рынков сырья, материалов, энергоносителей, товаров и т. д.); изменение законодательства, влияющего на условия хозяйственной деятельности (налогового, отношений собственности, договорного и др.); неразвитость инфраструктуры рынка; противоправные действия криминальных структур; использование недобросовестной конкуренции; промышленно-экономический шпионаж; моральные (психологические) угрозы, запугивание, шантаж и физическое, опасное для жизни воздействие на персонал и их семьи (убийства, похищения, избиения); хищения материальных средств; противоправные действия конкурентов, их стремление завладеть контрольным пакетом акций; заражение программ ЭВМ различного рода компьютерными вирусами; противозаконные финансовые операции; чрезвычайные ситуации природного и технического характера; несанкционированный доступ конкурентов к конфиденциальной информации, составляющей коммерческую тайну; кражи финансовых средств и ценностей; мошенничество; повреждение зданий, помещений и многие другие."

"Внутренние опасности и угрозы экономической безопасности бизнеса возникают непосредственно в сфере хозяйственной деятельности предприятия. Так, к основным факторам риска можно отнести: недостаточный уровень дисциплины; противоправные действия кадровых сотрудников; нарушения режима сохранения конфиденциальной информации, выбор ненадежных партнеров и инвесторов, отток квалифицированных кадров, неверную оценку квалификации кадров, их низкую компетентность,; недостаточная патентная защищенность, аварии, пожары, взрывы; перебои в энерго-, водо-, теплоснабжении, выход из строя вычислительной техники, смерть ведущих специалистов и руководителей; зависимость ряда руководителей от уголовного мира; низкий образовательный уровень руководителей; существенные упущения как в тактическом, так и в стратегическом планировании, связанные, прежде всего, с выбором цели, неверной оценкой возможностей предприятия, ошибками в прогнозировании изменений внешней среды."

Достаточно заменить название вида безопасности, чтобы получить хорошее описание внутренних и внешних факторов угроз информационной безопасности. Различия только в структурных объектах и компонентах систем, в их свойствах и в различной зависимости от деструктивных факторов и характера внешнего воздействия. Чем более бизнес зависим от информационных технологий, тем меньше отличий в детализации перечисленных классов, факторов и их признаков, следовательно,. Иными словами, информационная безопасность ИТ-зависимых предприятий - решающий фактор экономической безопасности современных компаний.

Подобный педантизм в подходе к определению угроз экономически оправдан при создании и эксплуатации сложных систем. Такой подход позволяет провести оценку угроз, вероятность их реализации и предусмотреть соответствующие бюджетные средства для внедрения превентивных мер и предотвращения возможного ущерба. Привлечение инвестиций, выход компании на IPO и получение выгодных зарубежных контрактов вряд ли осуществимы сегодня без реализации мер по обеспечению ЭБ и ИБ, законодательно обусловленных международным правом. Бизнес заинтересован в экономической благонадежности партнеров.

Подведем резюме последней цитатой: "каждое предприятие и прежде всего менеджеры по бизнесу, исходя из конкретной ситуации, в которой находится хозяйствующий субъект, должны определить (спрогнозировать) наиболее значимое (опасное) из них и выработать систему мер по их своевременному выявлению, предупреждению или ослаблению влияния.

Выявление и идентификация факторов риска, опасностей и угроз – одна из наиболее важных задач обеспечения экономической (информационной) безопасности."

Трудно переоценить последние слова с точки зрения тематики заметки.

В.Б.

Информационная безопасность - основа обеспечения экономической безопасности бизнеса