Математичні моделі та методи оцінювання людського капіталу

Размещено на http://www.allbest.ru/

МІНІСТЕРСТВО ОСВІТИ ТА НАУКИ В УКРАЇНІ

ВІННИЦЬКИЙ НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ

Кафедра МБІС

Звіт з дисципліни ОНДР на тему:

«Математичні моделі та методи оцінювання людського капіталу»

Виконав: ст. гр. МОі-13

Домінас А.А.

Перевірив: к.т.н., проф.

Азарова А. О.

Вінниця 2015

ЗМІСТ

ВСТУП

РОЗДІЛ 1. ЗАГАЛЬНА ХАРАКТЕРИСТИКА

1 Математичні підходи до оцінювання людського капіталу

1.2 Досвід зарубіжних країн з питань оцінки людського капіталу

РОЗДІЛ 2. АНАЛІЗ МАТЕМАТИЧНИХ МОДЕЛЕЙ ТА МЕТОДІВ

2.1 Недоліки та переваги вітчизняних підходів

2.2 Недоліки та переваги іноземних підходів

ВИСНОВКИ І ПРОПОЗИЦІЇ

СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ

АНОТАЦІЯ

У роботі обґрунтовано актуальність дослідження людського капіталу. Зроблено огляд актуальних методик оцінки людського капіталу. Надано рекомендації щодо проблематики існуючих методик оцінки людського капіталу та подальшої їх розробки на сучасному етапі розвитку економіки.

ВСТУП

Бурхливий розвиток інформаційних технологій призвів до інформаційної революції, внаслідок чого основною цінністю для суспільства взагалі й окремої людини зокрема поступово стають інформаційні ресурси. За таких обставин забезпечення інформаційної безпеки поступово виходить на перший план у проблематиці національної безпеки.

З одного боку, використання інформаційних технологій дає ряд очевидних переваг: підвищення ефективності процесів управління, оброблення і передавання даних і т.п. У наш час вже неможливо уявити велику організацію без застосування новітніх інформаційних технологій, починаючи від автоматизації окремих робочих місць і закінчуючи побудовою корпоративних розподілених інформаційних систем.

З іншого боку, розвиток мереж, їх ускладнення, взаємна інтеграція, відкритість призводять до появи якісно нових загроз, збільшенню числа зловмисників, які мають потенційну можливість впливати на систему.

У даний час для захисту інформації потрібно не просто розробляти приватні механізми захисту, а реалізовувати системний підходу вирішення цієї проблеми, що включає комплекс взаємопов'язаних заходів (використання спеціальних технічних і програмних засобів, організаційних заходів, нормативно-правових актів і т.п.) Головною метою будь-якої системи забезпечення інформаційної безпеки є створення умов функціонування підприємства для запобігання загроз його безпеки, захисту законних інтересів підприємства від протиправних посягань, недопущення розкрадання фінансових засобів, розголошення, втрати, витоку, спотворення і знищення службової інформації.

З урахуванням майбутнього розвитку інформатизації, проникнення інформаційних технологій у найважливіші сфери життя суспільства необхідно передбачити перехід від принципу гарантування безпеки інформації до принципу інформаційної безпеки. Тобто, не зважаючи на рівень розвитку інформаційної безпеки сьогодні, залишається висока імовірність порушення конфіденційності даних підприємства, саме тому актуальним є питання грамотного впровадження та застосування системи забезпечення інформаційної безпеки. Питання інформаційної безпеки розглянуто в роботах Баранова А. І., Ярочкіна В. І., Конєєва І. Р., Голубченко О. Л., Устинова Г. Н., Гмурмана О. І., Богуша В. М., Юдіна О. К., Герасименка О. А., Домарева В. В. та ін. [4-12].

Джерелами інформації слугували закони України: «Про інформацію», «Про електронний цифровий підпис», Міжнародний стандарт управління інформаційною безпекою [1-3], дослідження вітчизняних та закордонних вчених, електронні ресурси.

Метою дослідження є розробка рекомендацій щодо підвищення захисту інформації на вітчизняних підприємствах.

Об'єктом дослідження слугує інформаційна система підприємства та її безпосередній захист.

Предметом дослідження є програмні засоби та методи забезпечення ІБ підприємства.

У роботи використані методи дослідження:

- аналізу - при дослідженні недоліків інформаційної безпеки вітчизняних підприємств;

- порівняння - при дослідженні недоліків та преваг наявних методів забезпечення ІБ;

- синтезу - при формуванні висновків щодо підвищення рівня ІБ вітчизняних підприємств.

Теоретична цінність роботи полягає тому, що в подальшому проведені дослідження щодо інформаційної безпеки можна буде в подальшому використати як базу для визначення напрямку інформаційної політики, її впровадження та підтримання функціонування.

РОЗДІЛ 1. ОСНОВНІ ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

1.1 Інформаційна безпека підприємства

Інформаційна безпека підприємства - це захист інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок при надходженні. Крім того, під інформаційною безпекою розуміють захищеність інформації та підтримуючої її інфраструктури від будь-яких випадкових або зловмисних дій, результатом яких може з'явитися нанесення збитку самої інформації, її власникам або підтримуючої інфраструктури.

Згідно ЗУ «Про інформацію», захист інформації - це «сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї» [1].

Згідно з міжнародним стандартом, система управління інформаційною безпекою - це «частина загальної системи управління організації, що заснована на оцінці бізнес ризиків, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід та вдосконалення інформаційної безпеки» [3].

На практиці інформаційна безпека включає в себе заходи по захисту процесів створення даних, їх введення, обробки і виводу. Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства в цілісності, захист і гарантування повноти і точності інформації, яку вона видає, мінімізація руйнувань і модифікація інформації, якщо такі трапляються. Отже, інформаційна безпека як комплекс заходів забезпечує наступні фактори збереження та захисту інформаційної системи підприємства:

1) конфіденційність - властивість, яка гарантує, що інформація недоступна і не може бути розкрита несанкціонованими особами, об'єктами чи процесами. Можливість ознайомитись з інформацією мають лише ті особи, які володіють відповідними повноваженнями;

2) цілісність - властивість, яка гарантує, що система повноцінно виконує свої функції без навмисних чи випадкових несанкціонованих втручань. Можливість внести зміни в інформацію повинні мати лише ті особи, які на це вповноважені;

3) доступність - можливість отримання авторизованого доступу до інформації з боку вповноважених осіб в відповідний санкціонований для роботи період часу.

Деякі дослідники включають також:

4) неспростовність - неможливість відмови від авторства, тобто особа, яка направила інформацію іншій особі, не може відректися від факту відправлення інформації, а особа, яка отримала інформацію, не може відректися від факту її отримання. Забезпечується засобами криптографії (електронно-цифровим підписом);

5) властивість, яка гарантує, що ідентифікатори предмета чи ресурсу задовольняють необхідні вимоги. Достовірність застосовують до об'єктів: споживачів, процесів, систем чи інформації;

6) підзвітність - забезпечення ідентифікації суб'єкта доступу та реєстрації його дій, тобто всі значимі дії особи, які вона виконує в рамках, що контролюються системою безпеки, повинні бути зафіксовані і проаналізовані. Зазвичай облік ведеться засобами електронних реєстраційних журналів, які використовуються в основному лише вповноваженими службами;

7) достовірність - властивість відповідності передбаченій поведінці чи результату;

8) автентичність - властивість, що гарантує, що суб'єкт або ресурс ідентичні заявленим [4].

1.3 Характеристика загроз інформаційної безпеки

інформаційний безпека людський капітал

Сутність загроз інформаційної безпеки зводиться, як правило, до нанесення того чи іншого збитку підприємству (організації).

Прояви можливого збитку можуть бути найрізноманітнішими:

1) моральна і матеріальна шкода діловій репутації організації;

2) моральний, фізичний чи матеріальний збиток, пов'язаний з розголошенням персональних даних окремих осіб;

3) матеріальний (фінансовий) збиток від розголошення конфіденційної інформації;

4) матеріальний (фінансовий) збиток від необхідності відновлення порушених інформаційних ресурсів, які захищаються;

5) матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;

6) моральний і матеріальний збиток від дезорганізації в роботі всього підприємства [4].

Слід зазначити, що ключовим фактором, у забезпеченні інформаційної безпеки підприємства є його персонал. Основними заходами при роботі з яким є: проведення аналітичних процедур при прийомі і звільненні; навчання і інструктаж практичним діям по захисту інформації; контроль за виконанням вимог по захисту інформації, стимулювання відповідального відношення до збереження інформації та ін [5].

Джерела зовнішніх загроз можуть бути випадковими і запланованими та мати різний рівень кваліфікації. До них відносяться:

- кримінальні структури;

- потенційні злочинці і хакери;

- нечесні партнери;

- технічний персонал постачальників послуг, тощо.

Внутрішні суб'єкти (джерела), як правило, представлені висококваліфікованими фахівцями у галузі розробки та експлуатації програмного забезпечення і технічних засобів, знайомі зі специфікою розв'язуваних завдань, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного устаткування і технічних засобів мережі. До них відносяться:

- основний персонал (користувачі, програмісти, розробники);

- представники служби захисту інформації;

- допоміжний персонал (прибиральники, охорона);

- технічний персонал;

Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути зовнішніми:

- засоби зв'язку;

- мережі інженерних комунікації;

- транспорт;

та внутрішніми:

- неякісні технічні засоби обробки інформації;

- неякісні програмні засоби обробки інформації;

- допоміжні технічні засоби (охорони, сигналізації, телефонії);

- інші технічні засоби, що застосовуються в установі.

Відповідно, дії, які можуть завдати шкоди інформаційній безпеці організації, можна також розділити на кілька категорій:

1) Дії, які здійснюються авторизованими користувачами. У цю категорію потрапляють: цілеспрямована крадіжка або знищення даних на робочій станції або сервері; пошкодження даних користувачів у результаті необережних дій;

2) «Електронні» методи впливу, які здійснюються хакерами. До таких методів відносяться: несанкціоноване проникнення в комп'ютерні мережі, DOS атаки;

3) Комп'ютерні віруси. Окрема категорія електронних методів впливу - комп'ютерні віруси та інші шкідливі програми. Проникнення вірусу на вузли корпоративної мережі може призвести до порушення їх функціонування, втрат робочого часу, втрати даних, викраденні конфіденційної інформації і навіть прямим розкраданням фінансових коштів. Вірусна програма, яка проникла в корпоративну мережу, може надати зловмисникам частковий або повний контроль над діяльністю компанії.

4) «Природні» загрози. На інформаційну безпеку компанії можуть впливати різноманітні зовнішні фактори. Так причиною втрати даних може стати неправильне зберігання, крадіжка комп'ютерів і носіїв, форс-мажорні обставини і так далі [6].

Таким чином, у сучасних умовах наявність розвиненої системи інформаційної безпеки стає однією з найважливіших умов конкурентоспроможності і навіть життєздатності будь-якої компанії.

Не менш важливим є питання економічного обґрунтування витрат на захист інформації. Адже чим вище рівень захищеності інформації, тим за інших рівних умов, буде нижче розмір можливих збитків, але тим вищою буде вартість захисту. Оптимальний розміром витрат на захист буде такий, при якому забезпечується рівень захищеності, що дорівнює мінімуму загальних витрат. Вартість збитків визначається двома параметрами: ймовірністю реалізації різних загроз інформації; вартістю (важливістю) інформації, захищеність якої може бути порушена під впливом різних загроз. У зв'язку зі складністю дати кількісну оцінку збитків (сума втрат або розмір недоотриманого прибутку) причиною яких може бути витік, або втрата інформації, що захищається, в даний час найбільш доцільним є підхід на основі експертних оцінок. За даними висновків експертів можуть бути отримані статистично стійкі оцінки можливого збитку [7].

1.3 Основні принципи забезпечення інформаційної безпеки підприємства

До основних принципів інформаційної безпеки відносять:

- забезпечення цілісності і збереження даних, тобто надійне їх зберігання в неспотвореному вигляді;

- дотримання конфіденційності інформації (її недоступність для тих користувачів, які не мають відповідних прав);

- доступність інформації для всіх авторизованих користувачів за умови контролю за всіма процесами використання ними отриманої інформації;

- безперешкодний доступ до інформації в будь-який момент, коли вона може знадобитися підприємству.

Ці принципи неможливо реалізувати без особливої інтегрованої системи інформаційної безпеки, що виконує наступні функції:

- вироблення політики інформаційної безпеки;

- наліз ризиків (тобто ситуацій, в яких може бути порушена нормальна робота інформаційної системи, а також втрачені або розсекречені дані);

- планування заходів щодо забезпечення інформаційної безпеки;

- планування дій в надзвичайних ситуаціях;

- вибір технічних засобів забезпечення інформаційної безпеки [8].

Отже, етапи проведення робіт із забезпечення інформаційної безпеки підприємства виглядають таким чином:

1) Проведення обстеження підприємства на предмет виявлення реальних загроз несанкціонованого доступу до конфіденційної інформації;

2) Розробка політики безпеки, організаційно-розпорядчих документів і заходів щодо забезпечення інформаційної безпеки системи відповідно до вимог по захищеності технічних і програмних засобів від витоку конфіденційної інформації;

3) Проектування системи інформаційної безпеки;

4) Створення прототипу системи інформаційної безпеки;

5) Розробка зразка системи інформаційної безпеки;

6) Впровадження системи інформаційної безпеки в діючу структуру підприємства;

7) Навчання персоналу;

8) Атестація системи інформаційної безпеки підприємства.

Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства, захист і гарантування повноти і точності виданої нею інформації, мінімізація руйнувань і модифікація інформації, якщо такі трапляються [9].

Отже, сьогодні питання інформаційної безпеки підприємства є достатньо актуальним, адже із вдосконаленням засобів та методів ІБ підприємства, створюються і покращуються способи ці засоби обійти та завдати шкоди даним підприємства, а разом з тим і матеріальному стану підприємства. До таких джерел небезпеки відносять:

1) персонал(основний, допоміжний, технічний);

2) програмні засоби;

3) неякісні технічні засоби обробки інформації;

4) неякісні програмні засоби обробки інформації;

5) комп'ютерні віруси, тощо.

Відповідно до цього необхідно вживати заходів до запобіганню витоку інформації за межі підприємства способами зазначеними вище.

РОЗДІЛ 2. МЕТОДИ ТА ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Інформаційна безпека є достатньо абстрактним поняттям. Має бути деякий додаток ІБ, тобто необхідні систематизація і правила, що дозволяють зробити технології ІБ застосовними до реального середовища, де і повинна бути забезпечена безпека інформаційного простору. Саме тому й виникає поняття політики інформаційної безпеки [11].

2.1 Методи забезпечення інформаційної безпеки

На думку експертів в галузі захисту інформації, завдання забезпечення інформаційної безпеки повинна вирішуватися системно. Це означає, що різні засоби захисту (апаратні, програмні, фізичні, організаційні і т.д.) повинні застосовуватися одночасно і під централізованим управлінням. При цьому компоненти системи повинні «знати» про існування один одного, взаємодіяти і забезпечувати захист як від зовнішніх, так і від внутрішніх загроз [14].

На сьогоднішній день існує великий арсенал методів забезпечення інформаційної безпеки:

- засоби ідентифікації і аутентифікації користувачів (так званий комплекс 3А);

- засоби шифрування інформації, що зберігається на комп'ютерах і що передається по мережах;

- міжмережеві екрани;

- віртуальні приватні мережі;

- засоби контентної фільтрації;

- інструменти перевірки цілісності вмісту дисків;

- засоби антивірусного захисту;

Кожний з перерахованих засобів може використовуватись як самостійно, так і в інтеграції з іншими. Це робить можливим створення систем інформаційного захисту для систем будь-якої складності та конфігурації, незалежно від використовуваних платформ.

«Комплекс 3А» включає аутентифікацію (або ідентифікацію), авторизацію і адміністрування. Ідентифікація та авторизація - це ключові елементи інформаційної безпеки. При спробі доступу до інформаційних активів функція ідентифікації дає відповідь на питання: чи ви є авторизованим користувачем мережі. Функція авторизації відповідає за те, до яких ресурсів конкретний користувач має доступ. Функція адміністрування полягає у наділенні користувача певними ідентифікаційними особливостями в рамках даної мережі і визначенні обсягу допустимих для нього дій. Тобто даний метод є досить дієвим з розрахунку на те, що він не потребує спеціалізованих знань в сфері ІТ. Недоліком у використанні «комплексу 3А» є його відносна ненадійність, адже ідентифікаційні дані можна досить легко отримати («зламати» робочий комп'ютер, підкупити особу, яка володіє відповідними ключами) [15].

Сьогодні «комплекс 3А» вдосконалюється і містить у собі також:

- Автентифікацію за відбитком пальця - одна з найпопулярніших технологій і є відносно недорогою. Популярною вона стала завдяки тому, що її легко використати та застосувати будь-де. Також вона не вимагає від користувача якихось особливих дій. Але недоліком даної системи є те, що можна створити копію відбитка, використовуючи желатин чи латекс. Також мінусом є те, що дані по зчитуванню відбитка незахищені, і їх можна перехопити [18].

- Автентифікацію по райдужці ока - в принципі найнадійніша на даний момент технологія, що використовується на великих підприємствах, де затрати на її впровадження є значно нижчими ніж вартість інформації. Перевагою даного методу є його надійність, адже підробити райдужку ока людини набагато важче, аніж відбиток пальця. Хоча це можливо, що й можна назвати недоліком аутентифікації за райдужкою ока [18].

- Електронний цифровий підпис -- вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа [2].

Системи шифрування дозволяють мінімізувати втрати у випадку несанкціонованого доступу до даних, що зберігаються на жорсткому диску або іншому носії, а також перехоплення інформації при її пересилання по електронній пошті або передачу з мережних протоколах. Завдання даного засобу захисту - забезпечення конфіденційності. Основні вимоги, що пред'являються до систем шифрування - високий рівень криптостійкості та легальність використання на території держави. Перевагою даного методу є його надійність, тобто аби обійти цей вид захисту інформації потрібно володіти серйозними знаннями інформаційних технологій, що одночасно є й його мінусом, адже зашифровані дані не зможе отримати будь-який працівник [17].

Міжмережевий екран являє собою систему або комбінацію систем, що утворить між двома чи більш мережами захисний бар'єр, що оберігає від несанкціонованого потрапляння в мережу або виходу з неї пакетів даних.

Основний принцип дії міжмережевих екранів - перевірка кожного пакету даних на відповідність вхідної та вихідної IP адреси базі дозволених адрес. Таким чином, міжмережеві екрани значно розширюють можливості сегментації інформаційних мереж та контролю за циркулюванням даних.

Говорячи про криптографію і міжмережеві екрані, слід згадати про захищені віртуальні приватні мережі (Virtual Private Network - VPN). Їх використання дозволяє вирішити проблеми конфіденційності і цілісності даних при їх передачі по відкритим комунікаційних каналам. Використання VPN можна звести до вирішення трьох основних завдань:

1) захист інформаційних потоків між різними офісами компанії (шифрування інформації проводиться тільки на виході у зовнішню мережу);

2) захищений доступ віддалених користувачів мережі до інформаційних ресурсів компанії, як правило, здійснюваний через Internet;

3) захист інформаційних потоків між окремими додатками всередині корпоративних мереж (цей аспект також дуже важливий, оскільки більшість атак здійснюється з внутрішніх мереж). Основним мінусом між мережевого екрану є те, що його робота може бути порушена вже авторизованими користувачами. Він не дозволяє захистити дані від копіювання на змінний носій.

Ефективний засіб захисту від втрати конфіденційної інформації - фільтрація вмісту вхідної і вихідної електронної пошти. Перевірка поштових повідомлень на основі правил, встановлених в організації, дозволяє також забезпечити безпеку компанії від відповідальності за судовими позовами і захистити їх співробітників від спаму.

Засоби контентної фільтрації дозволяють перевіряти файли всіх розповсюджених форматів, у тому числі стислі і графічні. При цьому пропускна здатність мережі практично не змінюється.

Всі зміни на робочій станції або на сервері можуть бути відслідковані адміністратором мережі або іншим авторизованим користувачем завдяки технології перевірки цілісності вмісту жорсткого диска (integrity checking). Це дозволяє виявляти будь-які дії з файлами (зміна, видалення або ж просто відкриття) і ідентифікувати активність вірусів, несанкціонований доступ або крадіжку даних авторизованими користувачами. Контроль здійснюється на основі аналізу контрольних сум файлів (CRC сум) [4].

Сучасні антивірусні технології дозволяють виявити практично всі вже відомі вірусні програми через порівняння коду підозрілого файлу із зразками, що зберігаються в антивірусній базі. Крім того, розроблені технології моделювання поведінки, що дозволяють виявляти новостворювані вірусні програми. Виявлені об'єкти можуть піддаватися лікуванню, ізолюватися (міститися в карантин) або видалятися. Захист від вірусів може бути встановлено на робочі станції, файлові і поштові сервера, міжмережеві екрани, що працюють під практично будь-якою з поширених операційних систем (Windows, Unix-і Linux-системи, Novell) на процесорах різних типів. Однією з основних проблема, яка існує на даний момент, є методи шифрування та дешифрування коду вірусів. Антивіруси просто не можуть визначити, чи це є програма шифрування, чи вірус, чи робоча програма. Більшість антивірусів здатні розрізняти їх, але з кожним днем коди вірусів змінюються, і захисні функції антивірусів просто не встигають адаптуватись до все нових і складніших вірусів [8].

2.2 Види моделей політики інформаційної безпеки

Серед моделей ПБ найвідомішими є дискреційна, мандатна та рольова. Перші дві досить давно відомі й детально досліджені, а рольова політика є недавнім досягненням теорії та практики захисту інформації.

2.2.1 Дискреційна політика безпеки

Основою дискреційної політики безпеки (ДПБ) є дискреційне управління доступом (Discretionary Access Control - DAC), яке визначається двома властивостями:

- усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;

- права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.

Назва пункту є дослівним перекладом з англійської терміна Discretionary policy, ще один варіант перекладу - розмежувальна політика. Ця політика одна з найпоширеніших в світі, в системах по замовчуванню мається на увазі саме ця політика. ДПБ реалізується за допомогою матриці доступу, яка фіксує множину об'єктів та суб'єктів, доступних кожному суб'єкту.

Існує кілька прикладів матриць доступу:

1) Листи можливостей: для кожного суб'єкта створюється лист (файл) усіх об'єктів, до яких має доступ даний суб'єкт;

2) Листи контролю доступу: для кожного об'єкта створюється список усіх суб'єктів, що мають доступи до цього об'єкта;

3) До переваг ДПБ можна віднести відносно просту реалізацію відповідних механізмів захисту. Саме цим зумовлено той факт, що більшість поширених нині захищених автоматизованих систем забезпечують виконання положень саме ДПБ. Однак багатьох проблем захисту ця політика розв'язати не може, тому до основних її вад можна віднести:

4) Один з найбільших недоліків цього класу політик - вони не витримують атак за допомогою «Троянського коня». Це, зокрема, означає, що система захисту, яка реалізує ДПБ, погано захищає від проникнення вірусів у систему та інших способів прихованої руйнівної дії.

5) Автоматичне визначення прав. Оскільки об'єктів багато і їх кількість безперервно змінюється, то задати заздалегідь вручну перелік прав кожного суб'єкта на доступ до об'єктів неможливо. Тому матриця доступу різними способами агрегується, наприклад, суб'єктами залишаються тільки користувачі, а у відповідну клітину матриці вставляються формули функцій, обчислення яких визначає права доступу суб'єкта, породженого користувачем, до об'єкта.

6) Звичайно, ці функції можуть змінюватися з часом. Зокрема, можливе вилучення прав після виконання певної події, також можливі модифікації, що залежать від інших параметрів.

7) Контроль поширення прав доступу. Найчастіше буває так, що власник файлу передає вміст файлу іншому користувачеві і той відповідно набуває права власника на цю інформацію. Отже, права можуть поширюватись, і навіть якщо перший власник не хотів передати доступ іншому суб'єкту до своєї інформації, то після кількох кроків передача прав може відбутися незалежно від його волі. Виникає задача про умови, за якими в такій системі певний суб'єкт рано чи пізно отримає необхідний йому доступ.

8) При використанні ДПБ виникає питання визначення правил поширення прав доступу й аналізу їх впливу на безпеку АС. У загальному випадку при використанні ДПБ органом, який її реалізує і який при санкціонуванні доступу суб'єкта до об'єкта керується певним набором правил, стоїть задача, яку алгоритмічно неможливо розв'язати: перевірити, призведуть його дії до порушень безпеки чи ні. Отже, матриця доступів не є тим механізмом, який дозволив би реалізувати ясну і чітку СЗІ в АС. Більш досконалою ПБ виявилася мандатна ПБ [14].

2.2.2 Мандатна політика

Основу мандатної (повноважної) політики безпеки (МПБ) становить мандатне управління доступом (Mandatory Access Control - МАС), яке передбачає, що:

- всі суб'єкти й об'єкти повинні бути однозначно ідентифіковані;

- у системі визначено лінійно упорядкований набір міток секретності;

- кожному об'єкту системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому, - його рівень секретності в АС;

- кожному суб'єкту системи надано мітку секретності, яка визначає рівень довіри до нього в АС, максимальне значення мітки секретності об'єктів, до яких суб'єкт має доступ;

- мітка секретності суб'єкта називається його рівнем доступу.

Основна мета МПБ - запобігання витоку інформації від об'єктів з високим рівнем доступу до об'єктів з низьким рівнем доступу, тобто протидія виникненню в КС інформаційних каналів згори вниз. Вона оперує, таким чином, поняттями інформаційного потоку і цінності інформаційних об'єктів. Цінність інформаційних об'єктів (або їх мітки рівня секретності) часто дуже важко визначити.

Отже, МПБ має справу з множиною інформаційних потоків, яка ділиться на дозволені і недозволені за дуже простою умовою - значенням наведеної функції. МПБ у сучасних системах захисту на практиці реалізується мандатним контролем на найнижчому апаратно-програмному рівні, що дає змогу досить ефективно будувати захищене середовище для механізму мандатного контролю.

Пристрій мандатного контролю називають монітором звернень. Мандатний контроль, який ще називають обов'язковим, оскільки його має проходити кожне звернення суб'єкта до об'єкта, організовується так: монітор звернень порівнює мітки рівня секретності кожного об'єкта з мітками рівня доступу суб'єкта. За результатом порівняння міток приймається рішення про допуск. Найчастіше МПБ описують у термінах, поняттях і визначеннях властивостей моделі Белла-Лападула. У рамках цієї моделі доводиться важливе твердження, яке вказує на принципову відмінність систем, що реалізують мандатний захист, від систем з дискреційним захистом: «якщо початковий стан системи безпечний і всі переходи системи зі стану до стану не порушують обмежень, сформульованих ПБ, то будь-який стан системи безпечний».

До основних переваг можна віднести ряд переваг МПБ порівняно з ДПБ:

1) Для систем, де реалізовано МПБ, є характерним вищий ступінь надійності. Це пов'язано з тим, що за правилами МПБ відстежуються не тільки правила доступу суб'єктів системи до об'єктів, а й стан самої КС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути тільки при практичній реалізації систем внаслідок помилок розробника;

2) Правила МПБ ясніші і простіші для розуміння розробниками і користувачами АС, що також є фактором, який позитивно впливає на рівень безпеки системи;

3) МПБ стійка до атак типу «Троянський кінь»;

4) МПБ допускає можливість точного математичного доведення, що система в заданих умовах підтримує ПБ.

Однак МПБ має дуже серйозні вади - вона дуже складна для практичної реалізації і вимагає значних ресурсів КС. Це пов'язано з тим, що інформаційних потоків у системі величезна кількість і їх не завжди можна ідентифікувати. Саме ці вади часто заважають її практичному використанню.

МПБ прийнята всіма розвинутими державами світу. Вона розроблялася, головним чином, для збереження секретності (тобто конфіденційності) інформації у військових організаціях. Питання ж цілісності за її допомогою не розв'язуються або розв'язуються частково, як побічний результат захисту секретності [14].

2.2.3 Рольова політика безпеки

Рольову політику безпеки (РПБ) (Role Base Access Control - RBAC) не можна віднести ані до дискреційної, ані до мандатної, тому що керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Отже, рольова модель є цілком новим типом політики, яка базується на компромісі між гнучкістю керування доступом, характерною для ДПБ, і жорсткістю правил контролю доступу, що притаманна МПБ.

У РПБ класичне поняття «суб'єкт» заміщується поняттями «користувач» і «роль».

Користувач - це людина, яка працює з системою і виконує певні службові обов'язки.

Роль - це активно діюча в системі абстрактна сутність, з якою пов'язаний обмежений, логічно зв'язаний набір повноважень, необхідних для здійснення певної діяльності.

РПБ застосовується досить широко, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близькою до реального життя.

Справді, по суті, користувачі, що працюють у системі, діють не від свого власного імені - вони завжди виконують певні службові обов'язки, тобто виконують деякі ролі, які аж ніяк не пов'язані з їх особистістю. Тому цілком логічно здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесу обробки інформації. Такий підхід до ПБ дозволяє врахувати розподіл обов'язків і повноважень між учасниками прикладного інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов'язків.

Наприклад, у реальній системі обробки інформації можуть працювати системний адміністратор, менеджер баз даних і прості користувачі. У такій ситуації РПБ дає змогу розподілити повноваження між цими ролями відповідно до їх службових обов'язків: ролі адміністратора призначаються спеціальні повноваження, які дозволять йому контролювати роботу системи і керувати її конфігурацією, роль менеджера баз даних дозволяє здійснювати керування сервером БД, а права простих користувачів обмежуються мінімумом, необхідним для запуску прикладних програм. Крім того, кількість ролей у системі може не відповідати кількості реальних користувачів - один користувач, якщо він має різні повноваження, може виконувати (водночас або послідовно) кілька ролей, а кілька користувачів можуть користуватися однією й тією ж роллю, якщо вони виконують однакову роботу. При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що представляють набір прав доступу до об'єктів, і, по-друге, кожному користувачеві призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження. У моделі РПБ визначаються множини: множина користувачів, множина ролей, множина повноважень на доступ до об'єктів, наприклад, у вигляді матриці прав доступу, множина сеансів роботи користувачів з системою. Для перелічених множин визначаються відношення, які встановлюють для кожної ролі набір наданих їй повноважень, а також для кожного користувача набір доступних йому ролей.

Правила керування доступом РПБ визначаються певними функціями, які для кожного сеансу визначають користувачів, набір ролей, що можуть бути одночасно доступні користувачеві в цьому сеансі, а також набір доступних у ньому повноважень, що визначається як сукупність повноважень усіх ролей, що беруть участь у цьому сеансі. Як критерій безпеки рольової моделі використовується правило: «система вважається безпечною, якщо будь-який користувач системи, що працює в певному сеансі, може здійснити дії, які вимагають певних повноважень тільки в тому випадку, коли ці повноваження належать сукупності повноважень усіх ролей, що беруть участь у цьому сеансі».

З формулювання критерію безпеки рольової моделі випливає, що управління доступом здійснюється, головним чином, не за допомогою призначення повноважень ролям, а шляхом встановлення відношення, яке призначає ролі користувачам, і функції, що визначає доступний у сеансі набір ролей. Тому численні інтерпретації рольової моделі відрізняються видом функцій, що визначають правила керування доступом, а також обмеженнями, що накладаються на відношення між множинами. Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так, вона практично не гарантує безпеку за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи. Хоча такий підхід дозволяє отримати прості й зрозумілі правила контролю доступу (перевага), які легко застосовувати на практиці, проте позбавляє систему теоретичної доказової бази (вада). У деяких ситуаціях ця обставина утруднює використання РПБ, однак у кожному разі оперувати ролями набагато зручніше, ніж суб'єктами (знову перевага), оскільки це більше відповідає поширеним технологіям обробки інформації, які передбачають розподіл обов'язків і сфер відповідальності між користувачами. Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюється контролюється ДПБ або МПБ, що дозволяє будувати багаторівневі схеми контролю доступу.

2.3 Значення політики безпеки інформації

Наведений огляд сучасних ПБ визначає основні принципи їх функціонування, а також підкреслює їх роль і виключну важливість при побудові та експлуатації захищених АС. Додамо, що в багатьох сучасних програмних засобах захисту інформації розглянуті ПБ уже реалізовані. Однак слід зазначити, що це зовсім не означає їх механічного застосування. Зрозуміло, що спочатку в конкретній організації має бути проведений ретельний аналіз процесів обробки інформації, на основі якого потім створюється і застосовується конкретна ПБ.

Зауважимо, що, в більшості організацій (як державних, так і недержавних) про поняття ПБ навіть не мають уявлення. Але парадокс якраз полягає в тому, що фактично в будь-якій організації завжди існують конкретні правила, що регламентують процес її функціонування, зокрема і процес захисту інформації, а саме ці правила і є політикою. Отже, фактично в будь-яких АС окремі елементи ПБ завжди наявні [6].

Отже, інформаційна безпека підприємства потребує низки систематизованих заходів, щодо її впровадження та підтримання. Саме для цього й створено різні види політик ІБ, для підприємств різних організаційних форм. Такі заходи постійно вдосконалюються, доповнюються, адаптуючись до сучасних економічних та інформаційних умов. Прикладом цього є такі нові засоби як ідентифікація особи за відбитком пальця, сітківкою ока чи електронно-цифровий підпис. Також вдосконалення стосується області розробки найбільш оптимальної політики інформаційної безпеки підприємства, наслідком чого стала рольова політика, яка свого роду поєднує дві вже існуючі політика - мандатну та дискреційну, даючи змогу більш широко провадити захист даних на різних рівнях діяльності підприємства.

ВИСНОВКИ І ПРОПОЗИЦІЇ

Отже, під інформаційною безпекою розуміють захист інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок при надходженні.

Інформація підприємства є конфіденційною, тобто доступ до неї має лише певне коло осіб(переважно працівників даного підприємства). Тому її розкриття є неприпустимим, адже може принести непоправну шкоду як матеріальному стану організації, так і її іміджу.

Існує безліч загроз безпеці інформації, до них відносять:

1. персонал(основний, допоміжний, технічний);

2. програмні засоби;

3. неякісні технічні засоби обробки інформації;

4. неякісні програмні засоби обробки інформації;

5. комп'ютерні віруси, тощо.

Відповідно, на даний час розроблено масу засобів захисту інформації підприємства від зловмисного впливу:

1. засоби ідентифікації і аутентифікації користувачів (так званий комплекс 3А);

2. засоби шифрування інформації, що зберігається на комп'ютерах і що передається по мережах;

3. міжмережеві екрани

4. віртуальні приватні мережі;

5. засоби контентної фільтрації;

6. інструменти перевірки цілісності вмісту дисків;

7. засоби антивірусного захисту.

Відповідно кожен з них має свої переваги та недоліки, тому часто задля ефективнішого використання цих методів, їх використовують комплексно.

Сама по собі ІБ є досить абстрактним поняттям, тому потребує певної систематизації, правил впровадження та використання. Саме для цього й існує політика ІБ. Загалом виділяють 3 найпоширеніші види:

1. Мандатна

2. Дискреційна

3. Рольова

В Україні на сьогоднішній день ІБ знаходиться на досить низькому рівні. Підприємства не застосовують здобутки НТП для захисту своїх даних. Однією з причин цьому є матеріальний аспект, адже грамотна ефективна політика ІБ підприємства потребує значних матеріальних ресурсів. Але не зважаючи на це, такі витрати потрібно здійснювати, виключно з погляду на те, що в перспективі витік конфіденційної інформації може призвести не лише до збитків (як матеріальних, так і втрата репутації підприємством), а й до повного краху тієї чи іншої організації.

Таким чином, використання інформаційних технологій в підприємницькій діяльності значно підвищує ефективність процесів, зменшує затрати на їх проведення, проте в той же час зумовлює виникнення нових загроз для функціонування підприємства. Отже, інформаційна безпека фактично відображається у ступені захищеності важливої для підприємства інформації від впливу дій випадкового або навмисного характеру, які можуть завдати збитків підприємству. Оптимальним варіантом забезпечення інформаційної безпеки є дотримання систематичного поєднання правових, організаційних та програмно-технічних методів у процесі управління підприємством. Тому, вітчизняним підприємствам необхідно впроваджувати засоби інформаційної безпеки, починаючи хоча б з мінімального набору методів захисту даних. Залучати спеціалістів у сфері ІБ, задля грамотного синтезу, впровадження та використання засобів ІБ, що в перспективі знизить ризики втрати інформації підприємства, а відповідно і ризики понести матеріальні збитки чи зниження гудвілу організації.

СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ

1. Закон України «Про інформацію» // Відомості Верховної Ради України. - 1992. - № 48

2. Закон України «Про електронний цифровий підпис» // Відомості Верховної Ради України. - 2003. - № 36

3. ISO/IEC 17799:2005 RU; ISO/IEC 27001:2005 RU [Електронний ресурс]. - Режим доступу: http://iso27000.ru/standarty/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu-1/

4. Баранов А. І. Інформаційний суверенітет або інформаційна безпека / І. А. Баранов // Національна безпека та оборона. - 2001. - № 1. - С. 70-76.

5. Ярочкин В. И. Информационная безопасность / В. И. Ярочкин. - М. : Академический Проект Мир. - 2004. - 544 с.

6. Конеев И. Р. Інформаційна безпека підприємства / И. Р. Конеев, А. С. Беляев. - БХВ-Петербург, 2003. - 752 с.

7. Голубченко О. Л. Політика інформаційної безпеки / О. Л. Голубченко. - Луганськ: вид-во СНК ім. В. Даля, 2009. - 300 с.

8. Устинов Г. Н. Уязвимость и информационная безопасность телекоммуникационных технологий / Г. Н. Устинов - М. : Радио и связь, 2003. - 342с.

9. Гмурман А. И. Информационная безопасность / А. И. Гмурман - М. : «БИТ-М», 2004. - 387 с.

10. Богуш В. М. Інформаційна безпека держави / В. М. Богуш, О. К. Юдін. - К. : «МК-Прес», 2005. - 432 с.

11. Домарев В. В. Безопасность информационных технологий / В. В. Домарев. - К. : ООО «ДС», 2004. - 992 с.

12. Ващенко Н. В. Економічна безпека підприємства / Ващенко Н. В., Донець Л. І. К. : Центр учбової літератури, 2008. - 240 с.

13. Герасименко В. А. Защита информации в автоматизированных системах обработки даннях. - М.: Энергоатомиздат, 1994. - 360 с.

14. Корнєєв И. К., Степанов Е. А. Защита информации в офисе. - М. : изд-во Проспект, 2008. - 336 с.

15. Информационная безопасность: экономические аспекты. - [Електронний ресурс] / Петренко С. С., Симонов С. О., Кислов Р. Н. // Наука и техника. - Режим доступу: http://www.nt-magazine.ru/security-/articles/sec/index.shtml

16. Теренин А. А. Проектирование экономически эффективной системы информационной безопасности / А. А. Теренин // Защита информации. Инсайд. - 2005. - № 1. - С. 23-25.

17. Кухарев Г. А. Биометрические системы: методы и средства идентификации личности человека / Г. А. Кухарев. - С. : Политехника, 2001. - 240 c.

18. Агафонов Г. Г., Буришев С. А., Прохоров С. Л. Концепции безопасности / Г. Г. Агафонов, С. А. Буришев, С. Л. Прохоров. - К. : А-ДЕПТ, 2005. - Кн. 2. - 270 с.

19. Шевченко А. В. Інформаційна безпека підприємства // Проблеми науки. - №6. - 2010. - С. 56-58

Размещено на Allbest.ru

...