Особенности аудита электронного бизнеса

В предлагаемой статье, по существу, обобщены и систематизированы взгляды на аудит элект­ронного бизнеса при перманентном влиянии внешнего окружения на экономические субъекты, рас­крыты его существенные преимущества для системы управления экономическим субъектом.

Электронный бизнес – предметная область аудита

Современный этап формирования и раз­вития мировой рыночной системы харак­теризуется высокой неопределенностью и все возрастающей динамикой постоян­ных изменений во внешнем (коммерческом) окружении экономических субъектов. Гло­бальные изменения структуры мировой рыночной системы в XXI веке обусловлены изменением роли высокотехнологического сектора экономики и переходом к информа­ционному обществу. Экономические субъ­екты в этих условиях становятся все более сложными и динамичными бизнес-система­ми. При этом усложняются как сама струк­тура управления ими, так и обработка и пе­редача надлежащей информации, которая становится существенной частью бизнес-процессов.

Исследования зарубежных и российских ученых [1, 2, 3, 4, 5, 10, 11 и др.] показыва­ют, что в современных условиях конкурент­ными преимуществами будут обладать те бизнес-системы, которые смогут быстро создавать и доставлять результат труда (продукцию, товары, работы или услуги), соответствующий определенной потреб­ности каждого уникального потребителя, а не абстрактным требованиям обобщен­ного рынка. Способность производителей совмещать индивидуальные потребитель­ские предпочтения с производством соот­ветствующих потребительских результатов и адекватной системой управления являет­ся решающим фактором эффективного раз­вития таких систем.

Таким образом, основными задачами управления экономическими субъектами в этих условиях являются привлечение и удержание каждого потребителя при ус­ловии сохранения необходимого соотноше­ния цена / качество, а также постоянное обеспечение эффективности самих биз­нес-систем. Иными словами, необходима такая модель построения организационной структуры управления, которая позволя­ла бы бизнес-системе в целом эффективно взаимодействовать с ее внешним окруже­нием и в особенности с ее потребителями. Особую роль в этом играют современные информационные технологии и, в частно­сти, Интернет.

В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности экономических субъектов. По мере изменения требований внешнего окружения меняются требования, предъявляемые к программным продук­там и ИТ-сервисам (ИТ-услугам), что при­водит к добавлению в их информацион­ную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающие их сложность и разнородность оказывают влияние на управ­ляемость всей информационной системой субъектов, стабильность и эффективность ее работы [7].

В то же время значительное число со­временных хозяйствующих субъектов, пре­одолевая традиционные подходы ведения финансово-хозяйственной деятельности, вступают в новый сегмент мировой ры­ночной системы, в т.н. электронный бизнес (Electronic business, E-business), предполага­ющий использование глобальных информа­ционных сетей для преобразования и реали­зации своих внутренних и внешних связей, а также своих возможностей.

За относительно короткий период элек­тронный бизнес трансформировался из EDI-систем (Electronic Data Interchange), обе­спечивающих лишь электронный обмен данными, в комплексные интернет-ориенти­рованные системы, позволяющие автомати­зировать практически весь спектр взаимо­связей и отношений любого экономического субъекта с его внешним окружением. Иными словами, в современных условиях развива­ется сервисно-ориентированный Интернет, который реализует широкий спектр интег­рированных отношений между экономи­ческими субъектами (business-to-business, B2B), экономическими субъектами и потре­бителями (business-to-consumer, B2C), эко­номическими субъектами и правительством (business-to-administration, B2A), потребителями и правительством (consumer-to-administration, C2A).

Электронный бизнес в современных ус­ловиях развития экономики представляет собой либо дополнение к традиционной дея­тельности субъекта (например, реализация книг или компакт-дисков, поставляемых по договору), либо абсолютно новое направ­ление деятельности с использованием соб­ственного веб-сайта для поставки и про­дажи потребительского результата через Интернет. В последнем случае отсутствует такое понятие, как географическая сегмен­тация, и, как следствие, снижаются многие ограничения, сопряженные с временными рамками и расстояниями между взаимодействующими субъектами. Иными слова­ми, в электронной среде (например, в сети Интернет) не существует четкой упорядо­ченной географической сети поставок, ко­торой обычно характеризуется традицион­ная деятельность экономических субъектов. В современных условиях не все отрасли благоприятны для ведения электронного бизнеса. В то же время, если отрасль, в ко­торой функционирует субъект, находит­ся под значительным влиянием электрон­ной среды, то, как следствие, бизнес-риски этих субъектов могут быть весьма значи­тельными по сравнению с субъектами, ве­дущими традиционную финансово-хозяй­ственную деятельность. Поэтому оценка бизнес-рисков и управление ими являются важнейшими задачами, стоящими перед этими субъектами.

И все же до настоящего времени наибо­лее значимыми и первоочередными задача­ми современных экономических субъектов, реализующих свои возможности в элект­ронной среде, являются создание единого интегрированного ядра, окруженного спе­циальной оболочкой, состоящей из взаимо­связанных систем снабжения, сбыта, марке­тинга, сервиса, и, как следствие, осуществ­ление перманентного контроля за ними. При этом указанные системы должны быть построены таким образом, чтобы существо­вала возможность их превентивного видо­изменения в зависимости от условий, скла­дывающихся в процессе функционирования этих субъектов.

Сложность указанных аспектов и посто­янное усиление внимания к ним приводят к особой специализации и концентрации управленческих исследований, требующих независимого (непредвзятого) системного и комплексного подхода. Однако при этом многие проблемы в практике управле­ния обычно оцениваются и анализируются управленческими структурами абсолютно изолированно друг от друга, не учитывает­ся их совокупное влияние на функциониро­вание бизнес – и ИТ-систем и их составляю­щих элементов, а некоторые вообще игно­рируются.

В условиях же стремительно возрас­тающей роли современных информацион­ных технологий профессиональный подход к управлению без непрерывных всесторон­них исследований не позволяет компенсиро­вать существенные недостатки в организа­ции и управлении бизнес – и ИТ-процессами, а также существующими и потенциальными бизнес-рисками.

Поэтому мировая общественность при­знает, что в современных условиях необхо­дима система, способная надлежащим обра­зом проводить всесторонние исследования и вырабатывать оптимальные управленчес­кие рекомендации для принятия своевре­менных и эффективных управленческих ре­шений.

Практически незаменимым и совершен­ным инструментарием при осуществлении разностороннего исследования и оценке информационной инфраструктуры, при­нятии управленческих решений, прогно­зировании развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управ­ления этими системами является аудит. Однако при его реализации необходимо учитывать то, что информационная систе­ма и ее информационная инфраструктура, являясь по своей сути моделью бизнес-си­стемы, в которой она функционирует, — весьма сложное и многофункциональное образование, требующее особого, кропот­ливого, системного и комплексного подхода к аудиторскому исследованию их состояния и функционирования.

Так как Интернет является электронной средой общего пользования, представляю­щей широкую возможность взаимодействия различных субъектов, то, как следствие, указанная среда влечет за собой особые рис­ки, которые не проявляются при ведении традиционной деятельности. Широкое ис­пользование указанной среды без построе­ния надлежащей системы внутреннего конт­роля, ориентированной на электронную сре­ду, может оказать существенное влияние не только на экономический субъект в це­лом, но и на внутренний потенциал, а также на внешнее окружение этого субъекта.

Принимая задание на всестороннее ауди­торское исследование электронной среды любого экономического субъекта, вовлечен­ного в электронный бизнес, как и при тра­диционном аудите финансовой отчетности, необходимо, прежде всего, получить над­лежащие знания о внешнем (коммерческом) окружении, бизнес-процессах, информа­ционной инфраструктуре, существующих и потенциальных бизнес – и ИТ-рисках этих субъектов. При этом следует учитывать, что уровень знаний, необходимый для пони­мания влияния электронной среды на функ­ционирование любой бизнес-системы, зави­сит от сложности бизнеса, осуществляемого этой системой.

Если электронный бизнес является осно­вой функционирования бизнес-системы, то, приступая к проведению аудита, аудитору необходимо понять и оценить:

• степень влияния информационных тех­нологий на стратегию аудируемого субъекта;
• технологии, применяемые для ведения электронного бизнеса;
• навыки и знания персонала субъекта в области информационных технологий;
• бизнес – и ИТ-риски, связанные с осу­ществлением электронного бизнеса, а также подходы субъекта к управлению этими рис­ками;
• адекватность инфраструктуры безо­пасности и сопутствующих средств контроля субъекта условиям, диктуемым электронной средой.

В свою очередь, для получения знаний о системе внутреннего контроля, ориенти­рованной на электронный бизнес экономиче­ского субъекта, внимание аудитора должно быть акцентировано на оценке:

• степени участия лиц, наделенных ру­ководящими полномочиями, в решении во­просов согласования электронного бизнеса с основополагающей стратегией аудируемо­го субъекта;
• электронного бизнеса как нового вида деятельности субъекта;
• источников доходов аудируемого субъ­екта и их изменений (например, как функционирует бизнес-система — в роли основно­го производителя или агента по реализации потребительских результатов других субъ­ектов);
• руководящим звеном системы управ­ления экономическим субъектом влияния электронного бизнеса на доходы и на финан­совые ресурсы этого субъекта;
• понимания руководящим звеном систе­мы управления аудируемого субъекта биз­нес – и ИТ-рисков;
• масштабов потенциальных возможно­стей и рисков электронного бизнеса, опре­деленных руководством аудируемого субъ­екта в документально оформленной стра­тегии;
• обязательств руководящего звена и лиц, наделенных руководящими полномо­чиями, по соблюдению Корпоративного ко­декса и программы защиты веб-сайта.

В то же время аудитор должен учиты­вать, что масштабы электронного бизнеса различных экономических субъектов неоди­наковы. Так, например, электронный бизнес может быть направлен:

• лишь на предоставление сведений о са­мом субъекте и его деятельности, которыми могут воспользоваться третьи лица (потре­бители традиционных потребительских ре­зультатов, инвесторы, источники предостав­ления ресурсов и пр.);
• на обеспечение реализации бизнес-операций с постоянными потребителями посредством электронной среды, в частности Интернета;
• на обеспечение доступа к новым рын­кам и новым потребителям путем предо­ставления определенной информации или обработки конкретных бизнес-операций в электронной среде (например, через Ин­тернет);
• на обеспечение доступа к провайдерам сервера приложений (Application Service Provider — ASP);
• на создание совершенно новой модели бизнеса.

При наличии у аудируемого субъекта своего веб-сайта, даже при отсутствии у пользователей интерактивного доступа к указанному ресурсу, могут возникать про­блемы как информационной безопасности, так и эффективности его функционирования.

Особенности аудита информационной безопасности электронного бизнеса

Под информационной безопасностью в данном контексте следует понимать защи­щенность информации и поддерживающей ее информационной системы от случайных и преднамеренных воздействий естествен­ного или искусственного характера, нанося­щих ущерб владельцам или пользователям этой информации и поддерживающей ее ин­формационной системе.

В этом случае аудитор должен провес­ти комплексное исследование веб-сайта, что позволит выявить и оценить существующие и вероятные его недостатки, которые меша­ют и способны помешать в будущем его над­лежащему развитию. С этой целью аудитору необходимо выявить и оценить:

• соответствие веб-сайта целевым уста­новкам электронного бизнеса экономическо­го субъекта;
• дизайн веб-сайта, его структуру и осо­бенности навигации;
• контент сайта (англ. «content» — «со­держание», в русском языке прижился так­же вариант перевода «наполнение») с по­зиции соответствия целевым установкам электронного бизнеса экономического субъ­екта и форме обратной связи с пользовате­лями;
• проблемы маркетинга веб-сайта и стра­тегию его продвижения в электронной среде;
• пути посетителя веб-сайта и использу­емые критерии его поиска;
• запросы и заказы, сделанные за иссле­дуемый период;
• уязвимость от внутренних и внешних угроз.

В то же время аудитор должен учиты­вать, что в электронном бизнесе бизнес-операции, генерированные с веб-сайта, должны быть надлежащим образом об­работаны внутренними системами эконо­мического субъекта, такими, как система бухгалтерского учета, система управления работой с потребителями, система управ­ления запасами и система внутреннего контроля. Значительное число веб-сайтов в современных условиях практически не интегрированы с внутренними систе­мами экономических субъектов. Поэтому применяемые ими приемы перехвата и пе­редачи информации о бизнес-операциях, например, в систему бухгалтерского учета могут повлиять:

• на полноту и точность обработки этой информации;
• на сохранность информации;
• на определение сроков признания до­ходов от реализации потребительских ре­зультатов, закупок и иных операций;
• на определение, оценку и учет спорных бизнес-операций;
• на информационную безопасность.
  

Как было отмечено ранее, руководство любого экономического субъекта посто­янно сталкивается со множеством бизнес – и ИТ-рисков, связанных с ведением элект­ронного бизнеса. К таким рискам можно от­нести:

• вероятность потери целостности инфор­мации о бизнес-процессах и бизнес-операци­ях, влияние которой сопряжено с отсутстви­ем возможности их отслеживания как на бумажных, так и на электронных носителях;
• высокую вероятность рисков информа­ционной безопасности, связанных с элект­ронным бизнесом, включая вирусную атаку и подверженность мошенничеству со сторо­ны потребителей и иных лиц посредством несанкционированного доступа к информа­ции этого субъекта;
• ненадлежащую учетную политику в отношении, например, капитализации рас­ходов на разработку и продвижение веб­сайта, неправильной трактовки сложных до­говорных отношений, рисков передачи прав собственности на потребительский резуль­тат, перевода иностранной валюты, резер­вов на гарантийное обслуживание и возврата продукции и товаров, а также проблем при­знания доходов;
• несоблюдение требований нормативно-правового регулирования финансово-хозяйственной деятельности и, в частности, элект­ронного бизнеса;
• неспособность обеспечения обязатель­ности требований договоров;
• излишнее доверие к методам ведения электронного бизнеса;
• сбой или отказ систем и элементов ин­формационных инфраструктур.

Дальнейший и бурный рост числа эконо­мических субъектов, внедряющих современ­ные информационные технологии или пол­ностью ориентированных на электронный бизнес, обусловлен, прежде всего, тем, что при ведении финансово-хозяйственной дея­тельности в современной электронной сре­де значительно снижаются транзакционные издержки, т.е. издержки, сопряженные с пе­реходом прав собственности на потребитель­ский результат.

Обычно руководство и лица, наделенные руководящими полномочиями экономичес­кого субъекта, вовлеченного в электронный бизнес, оценивают бизнес – и ИТ-риски по­средством внедрения системы информаци­онной безопасности, создания надлежащей ее инфраструктуры и применения надлежа­щих средств контроля, которые направлены:

• на идентификацию и проверку подлин­ности потребителей и поставщиков;
• на обеспечение целостности информа­ции о бизнес-операциях;
• на получение оплаты или обеспечения в отношении кредитных средств потребите­лей;
• на установку протоколов конфиденци­альности и защиты информации.

Аудитор должен понимать, что над­лежащим образом функционирующая система информационной безопасности и внутреннего контроля, ориентирован­ная именно на электронный бизнес, может уменьшить влияние значительного числа бизнес – и ИТ-рисков. Однако, приступая к аудиторскому исследованию указанной системы, ему необходимо, прежде всего, учесть, что особое значение в электронном бизнесе имеют проблемы, связанные с со­хранением целостности самих контроль­ных процедур в перманентно меняющейся электронной среде, а также обеспечением доступа к соответствующей информации (например, учетным записям) для удовлет­ворения потребности как самого субъекта, так и аудитора.

Независимо от размера экономического субъекта и специфики его информационной системы работы по обеспечению информа­ционной безопасности обычно включают следующие этапы:

• формирование политики информаци­онной безопасности;
• определение границ (масштабов) систе­мы управления информационной безопас­ностью и постановка конкретных целевых установок ее создания;
• оценка и управление рисками;
• выбор контрмер, обеспечивающих над­лежащий режим информационной безопас­ности;
• аудит системы управления информа­ционной безопасностью.

В свою очередь, каждый из перечислен­ных этапов имеет свой алгоритм реализации. Так, например, при формировании политики информационной безопасности аудитору необходимо:

• определить используемые нормативно-правовые документы, руководства и стан­дарты в области информационной безопас­ности, а также основные положения поли­тики;
• определить подходы к управлению биз­нес – и ИТ-рисками;
• структурировать контрмеры по уров­ням и пр.

При определении границ (масштаба) си­стемы управления информационной безо­пасностью и постановке целевых устано­вок ее создания руководящее звено систе­мы управления экономическим субъектом должно сформировать документ, отража­ющий границы системы информационной безопасности, ресурсы, подлежащие за­щите, и систему критериев оценки их цен­ности.

На этапе оценки и управления бизнес-и ИТ-рисками необходимо, прежде всего, поставить конкретные задачи их оценки и обосновать требования к самой методике этой оценки. При этом выбор той или иной методики зависит от уровня требований, предъявляемых в экономическом субъекте к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности контрмер. Кроме того, не­обходимо разработать основополагающую стратегию управления рисками разных классов. При этом в современных условиях обычно используют несколько подходов:

• уменьшение риска посредством прос­тейших контрмер (смена паролей, снижаю­щая несанкционированный доступ к инфор­мации);
• уклонение от риска, например, посред­ством вынесения веб-сервера экономическо­го субъекта за пределы локальной сети;
• изменение характера риска, например, путем страхования оборудования от стихий­ных бедствий и пр.;
• принятие риска, который остается пос­ле принятия контрмер.

В соответствии с выбранной стратеги­ей управления рисками необходимо опре­делить комплекс контрмер, структуриро­ванных по уровням (организационному, аппаратно-программному и пр.), а также отдельным аспектам информационной безопасности.

Аудит системы управления информаци­онной безопасностью осуществляется с це­лью проверки соответствия выбранных кон­трмер декларированным в политике безо­пасности целям.

Основными целевыми установками ука­занного направления аудиторского исследо­вания являются:

• исследование и анализ рисков, связан­ных с возможностью осуществления угроз безопасности в отношении ИТ-ресурсов;
• оценка текущего уровня защищеннос­ти информационной системы аудируемого субъекта;
• локализация узких мест в системе за­щиты;
• оценка соответствия информационной системы требованиям стандартов в области информационной безопасности;
• выработка рекомендаций по внедре­нию новых и повышению эффективности существующих механизмов информационной безопасности.

Однако применение аудита только при ис­следовании контрмер сужает его возмож­ности. Следует отметить, что надлежащий эффект может дать только комплексный и системный подход к аудиту электронного бизнеса в целом, его бизнес – и информаци­онной системы. При этом аудит информаци­онной безопасности может являться лишь элементом комплексного аудита электрон­ного бизнеса любого экономического субъ­екта.

Отличительной особенностью выполне­ния аудита информационной безопаснос­ти является несколько иная точка зрения на сбор и обработку сведений об электронной среде аудируемого субъекта. Так, напри­мер, при определении границ (масштабов) предстоящего аудита аудитору необходимо учесть:

• перечень обследуемых физических, программных и информационных ресурсов;
• помещения, попадающие в границы об­следования;
• организационные (нормативно-право­вые, процедурные и административные), физические, аппаратно-программные и про­чие аспекты обеспечения информационной безопасности и их приоритеты.

Осуществляя сбор сведений об эко­номическом субъекте, аудитору следует помнить, что компетентные выводы отно­сительно положения дел в субъекте с ин­формационной безопасностью, а тем более адекватные рекомендации по ее оптими­зации могут быть осуществлены только при условии наличия всего массива надле­жащих исходных данных, необходимых для анализа и оценки.

Так как обеспечение информационной безопасности — комплексный и систем­ный процесс, требующий четкой органи­зации и дисциплины, он должен начинать­ся с определения ролей и распределе­ния ответственности среди должностных лиц, занимающихся безопасностью. По­этому аудитору, прежде всего, необхо­димо получить знания об организацион­ных структурах пользователей информа­ционных технологий и обслуживающих их ИТ-подразделений.

Осуществляя в ходе сбора исходной ин­формации интервьюирование ответствен­ных и наделенных руководящими полномо­чиями лиц аудируемого субъекта, аудитор должен получить следующие сведения:

• о владельцах информации;
• о пользователях (потребителях) ин­формации;
• о провайдерах услуг;
• о характере и путях предоставления услуг (сервисов) конечным потребителям;
• об основных видах функционирующих приложений;
• о количестве и видах пользователей, использующих те или иные приложения;
• о существующих компонентах (элемен­тах) информационной системы;
• о функциональности отдельных компо­нентов информационной системы;
• о масштабе и границах информацион­ной системы;
• о входах в информационную систему;
• о взаимодействии с другими системами (в частности, с системой внутреннего контро­ля);
• о каналах связи при взаимодействии с другими системами аудируемого субъекта;
• о каналах связи между компонентами информационной системы;
• о протоколах взаимодействия;
• об аппаратно-программных платфор­мах, используемых в информационной сис­теме.

Кроме перечисленных сведений, ауди­тору необходимо получить от аудируемого субъекта:

• структурные и функциональные схе­мы;
• схемы информационных потоков;
• описание комплекса аппаратных средств информационной инфраструктуры;
• описание автоматизированных функ­ций (в т.ч. контрольных);
• описание основных технических реше­ний;
• проектную и рабочую документацию на информационную систему;
• описание структуры программного обеспечения.

Получение знаний по указанным аспек­там не должно заканчиваться и при проведе­нии аудита по существу проблем информа­ционной безопасности.

После подготовки информационной базы для исследования аудиторы переходят к анализу собранных сведений. С этой це­лью международная практика и многолет­ний опыт рекомендуют три подхода, кото­рые некоторым образом отличаются друг от друга.

Первый подход основан на использовании существующих стандартов информацион­ной безопасности, которые определяют не­кий базовый набор требований для широкого класса информационных технологий и раз­рабатываются на основе передового мирово­го опыта в указанной области знаний. Ауди­тор, опираясь на положения стандартов и полученные сведения о субъекте, должен надлежащим образом определить адекват­ный набор требований, соответствие кото­рым необходимо обеспечить для конкретной информационной системы. Указанный под­ход позволяет при минимальных затратах вырабатывать адекватные управленческие рекомендации по совершенствованию информационной безопасности в каждом кон­кретном случае. Основным недостатком это­го подхода является отсутствие параметров, характеризующих режим информацион­ной безопасности. При таком подходе мож­но упустить из поля зрения специфические для конкретной информационной системы классы потенциальных и даже существую­щих угроз.

Второй подход основан на использовании в аудиторском исследовании существую­щих методов анализа бизнес – и ИТ-рисков, учитывающих индивидуальность каждого аудируемого субъекта, его информационной системы, среды ее функционирования и существующие, а также потенциальные угро­зы безопасности. Данный подход является наиболее трудоемким и требует от аудитора привлечения к исследованию наиболее компетентных в этой области специалистов-экс­пертов.

Третий подход — комбинированный, предполагающий использование базового набора требований безопасности, определя­емого стандартами, расширяемого допол­нительными требованиями, учитываемыми при использовании метода анализа рисков.

Указанный подход, хотя и намного проще второго (т.к. основой его являются требова­ния безопасности, определенные стандар­тами), но в то же время лишен недостатка первого подхода, связанного с тем, что тре­бования стандартов практически не учиты­вают индивидуальности систем конкретного экономического субъекта.

При существовании повышенных требо­ваний к информационной безопасности наи­более приемлемым является третий подход к аудиторскому исследованию. В данном случае аудитору наряду с базовыми требо­ваниями стандартов необходимо надлежа­щим образом исследовать:

• бизнес – и ИТ-процессы с позиций ин­формационной безопасности;
• ресурсы аудируемого субъекта и их ценность;
• существующие и потенциальные угро­зы информационной безопасности;
• уязвимость (слабые места) существую­щей у субъекта защиты информации.

При этом все ресурсы необходимо ис­следовать с позиции оценки угроз, т.е. воз­действия вероятных или спланированных действий внутренних или внешних зло­умышленников, а также различных нежела­тельных событий естественного происхож­дения.

В свою очередь, ценность (важность) ре­сурса, как правило, определяется величи­ной ущерба, наносимого в случае нарушения информационной безопасности. На практи­ке обычно рассматривают следующие виды ущерба:

• данные были изменены, удалены или стали недоступны;
• аппаратно-программные средства были разрушены или повреждены;
• нарушена целостность программного обеспечения и пр.

Осуществляя аудиторское исследование информационной безопасности, аудитору необходимо выяснить, может ли быть нане­сен ущерб аудируемому субъекту в резуль­тате успешного прохождения следующих видов угроз:

• удаленные или локальные атаки на ИТ-ресурсы;
• стихийные бедствия;
• ошибки, искажения или преднамерен­ные действия ИТ-персонала;
• сбои в работе информационных тех­нологий, связанные с программным обеспе­чением или неисправностями аппаратных средств.