Причиной возникновения проблем этой группы является нарушение движе­ния информационных потоков или ошибки в системе доступа. Из-за того, что такие виды нарушений никак не влияют на состояние системы, выявить их факт очень сложно. Только небольшое их число можно вычислить в результате анализа файлов протокола доступа к отдельным объектам системы.

Для иллюстрации рассмотрим наиболее часто встречающиеся примеры нарушения доступа к информации.

• Ошибки администрирования:

— неправильное формирование групп пользователей и определение прав их доступа;

— отсутствие политики формирования паролей пользователей. При этом до 50% пользователей применяют простые, легко подбираемые пароли, такие как «123456», qwerty или собственное имя;

— ошибки в формировании итоговых и агрегированных отчетов и досту­па к ним. Примером может являться отчет по выпискам из счетов банка или сводный бухгалтерский журнал, которые хранят всю информацию по операциям кредитной организации и формируются в бухгалтерии, где за доступом к данным отчетам часто не ведется контроля;

— наличие открытого доступа для представителей сторонней органи­зации, выполняющей какие-либо подрядные работы.

• Ошибки проектирования информационной системы:

— использование недостаточно защищенной среды для разработки информационной системы. В ряде случаев доступ к информации можно получить не через интерфейс программы, который требует пароля, а напрямую читая из таблиц базы данных;

— ошибки алгоритмов доступа к данным. Особенно это касается разра­ботки систем криптозащиты, где очень часто вместо дорогостоящих систем в целях экономии используются собственные разработки, только имитирующие систему защиты;

— небрежность в разработке системы защиты. Один из примеров — забытая разработчиками точка доступа в систему, такая как уни­версальный пароль.

• Небрежность пользователей в вопросах информационной безопас­ности:

— нарушение правил хранения паролей для доступа в информацион­ную систему. Часто пользователи просто пишут пароль на бумаге и оставляют ее около компьютера. Особенно это распространено в организациях, где администратор системы требует сложных паро­лей, которые легко забыть. Часто встречается также абсолютно не­допустимая практика передачи паролей сотрудниками друг другу;

— сохранение закрытого соединения после окончания работы. Уходя на обед или домой, часть пользователей не блокируют компьютер и не выходят из банковской системы. Если она не имеет механиз­ма временного отключения неактивных пользователей, такое на­рушение делает бессмысленным большинство других требований системы безопасности;

— нерегламентированное обсуждение закрытой информации. При рас­смотрении этого нарушения особенно следует обращать внимание на сотрудников информационных служб.

• Умышленный взлом системы:

— через внешние точки доступа в информационную систему (напри­мер. через Интернет);

— нерегламентированное подключение к собственной сети (инфор­мационным коммуникациям) банка. С развитием сетевых техно­логий этот вид нарушений встречается достаточно редко, однако остается возможным, особенно если банк имеет развитую систему коммуникаций, выходящих за пределы одного здания; анализ не уничтоженных черновых документов системы. Такой вариант утеч­ки информации практически не рассматривается службами безопас­ности, но является самым легким методом получения информации для злоумышленников. В первую очередь это относится к черновым распечаткам из отдела информационных технологий.