Разработка мер по повышению информационной безопасности предприятия

Анализ рисков информационной безопасности позволяет выявить критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и принимать эффективные меры для их устранения или минимизации такого влияния. Утечка критически важной для бизнеса информации может привести к существенным финансовым потерям. Независимо от того, на каком этапе развития находится информационная система компании, она должна соответствовать определенному набору требований к обеспечению информационной безопасности. Существуют требования регуляторов, независимые от отрасли, а есть требования, специфичные для определенного сектора экономики. Также существуют «лучшие практики», позволяющие обеспечить информационную безопасность на уровне, адекватном целям и требованиям бизнеса.

Производя оценку активов компании, определят источники проблем (на основе моделей угроз и нарушителей, определения уязвимостей), оценивают существующие меры и средства защиты, оценивают риски информационной безопасности, внедряют оптимальные решения по минимизации выявленных рисков.

В результате снижаются риски, связанные с возможными финансовыми и репутационными потерями, наступающими в связи угрозами информационной безопасности, возможно подучить рациональное обоснование затрат на информационную безопасность, повысить уровень защищенности информации, обрабатываемой и хранимой в автоматизированных информационных системах.

Современные методы управления рисками позволяют решить ряд задач перспективного стратегического развития предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации. Во-вторых, в систему риск-менеджмента на предприятии может быть включена политика безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании.

С этой целью рекомендуется осуществить расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, произвести соотношение расходов на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения. Необходимо выявлять и проводить первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы. Следует определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, а также разработать необходимый пакет организационно-распорядительной документации. Одновременно следует осуществлять разработку и согласование со службами предприятия, надзорными органами проекта внедрения необходимого комплекса защиты, учитывающего современный уровень и тенденции развития информационных технологий. Кроме того, важным мероприятием поддержки системы безопасности информации является обеспечение поддержания внедренного комплекса защиты в соответствии с изменяющимися условиями работы предприятия, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Система защиты информации на предприятии преследует такие цели как предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Помимо этого система информационной безопасности нацелена на обеспечение устойчивого функционирования объекта: предотвращение угроз его безопасности, защиту законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом.

Обязательным условием эффективной реализации вышеупомянутых целей является непременный контроль качества предоставляемых услуг и обеспечение гарантий безопасности имущественных прав и интересов клиентов.

В связи с этим, система информационной безопасности должна базироваться на следующих принципах:

- прогнозирование и своевременное выявление угроз безопасности информационных ресурсов, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и, тем самым, ослабление возможного негативного влияния последствий нарушения информационной безопасности.

При разработке политики безопасности рекомендуется использовать модель, основанную на адаптации общих критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарт)' ISO/IEC 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью».



Рис. 2 Модель построения корпоративной системы защиты информации

Представленная модель описывает совокупность объективных внешних и внутренних факторов и демонстрирует их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Данная модель включает следующие объективные факторы:

- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

- уязвимости информационной системы или системы контрмер, влияющие на вероятность реализации угрозы;

- риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования.

Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходы на дополнительные меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

Приведём классификацию средств защиты информации.

Средства защиты от несанкционированного доступа (НСД):

- Средства авторизации;

- Мандатное управление доступом;

- Избирательное управление доступом;

- Управление доступом на основе ролей;

- Журналированые (так же называется Аудит).

- Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

- Системы обнаружения и предотвращения вторжений (IDS/IPS);

- Системы предотвращения утечек конфиденциальной информации (DLP-системы).

- Анализаторы протоколов.

- Антивирусные средства.

- Межсетевые экраны.

- Криптографические средства:

- Шифрование;

- Цифровая подпись.

- Системы резервного копирования.

- Системы бесперебойного питания:

- Источники бесперебойного питания;

- Резервирование нагрузки;

- Генераторы напряжения.

Системы аутентификации:

- Пароль;

- Сертификат;

- Биометрия.

- Средства предотвращения взлома корпусов и краж оборудования.

- Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

- Мониторинговый программный продукт

Обеспечение корректной работы со сведениями конфиденциального характера осуществляется в следующей последовательности. Составляется перечень сведений, имеющих конфиденциальный характер, который затем утверждается руководителем организации. В трудовые договора вносится пункт об ответственности за некорректную работу с конфиденциальными сведениями, несоблюдение, которого влечет привлечение сотрудников-нарушителей к административной или уголовной ответственности,

С помощью комплексного использования различных программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей их эффективности. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты, программы защиты от сетевых вторжений, программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.

Разработка регламентов информационной безопасности при использовании телекоммуникаций, соблюдение персоналом регламентов, внутренних нормативных актов, а также внедрение мероприятий по достижению конфиденциальности, целостности и доступности информации позволят не только повысить результативность системы информационной безопасности, но и будут способствовать укреплению внешних позиций предприятия.

2.2 Разработка комплекса мер по обеспечению информационной безопасности предприятия

Обеспечение информационной безопасности достигается системой мер, направленных:

на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

Предупреждение угроз возможно и путем получения (если хотите - и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.

В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные". Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.

Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:

предотвращение разглашения и утечки конфиденциальной информации;

воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;

соблюдение конфиденциальности информации;

обеспечение авторских прав.

Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.

Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.

Защита от несанкционированного доступа к конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД. На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:

организационные (в части технических средств);

организационно-технические;

технические.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

В общем плане организационные мероприятия предусматривают проведение следующих действий:

определение границ охраняемой зоны (территории);

определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;

реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.

Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.

Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.

Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.

Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации.

В этих целях возможно использование: технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.; технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.

Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.

Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).

Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.

Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.

Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории. Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию. Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.

Подавление - это создание активных помех средствам злоумышленников.

Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.

Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.

Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу.

Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и др.

Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса.

По направлениям - это правовая, организационная и инженерно-техническая защита.

По способам - это предупреждение, выявление, обнаружение, пресечение и восстановление.

По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры или технических средств и систем или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к ним или оборудования каналов утечки информации.

Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику.

Источником информации могут быть люди, документы, технические средства, отходы и др. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т.д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).

Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации. Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать и др.) источник информации. С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:

несанкционированные и злоумышленные действия персонала и пользователя;

ошибки пользователей и персонала;

отказы аппаратуры и сбои в программах;

стихийные бедствия, аварии различного рода и опасности.

В соответствии с этими основными целями защиты информации в ПЭВМ и информационных сетях являются:

обеспечение юридических норм и прав пользователей в отношении доступа к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы;

предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;

обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения.

В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать:

определение содержания передаваемых сообщений;

внесение изменений в сообщения;

необоснованный отказ в доступе;

несанкционированный доступ;

ложную инициализацию обмена;

возможность измерения и анализа энергетических и других характеристик информационной системы.

Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного о; такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи).

В каждом конкретном случае реализации информационного контакта используются и свои специфические способы воздействия, как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характеризующую взаимосвязь целей защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределенных автоматизированных системах. Одновременно на ней отражены и защитные возможности тех или иных механизмов.



Глава III. Человеческий фактор в обеспечении информационной безопасности предприятия

3.1 Роль человеческого фактора, как фактора безопасности предприятия

Обеспечение информационной безопасности предприятия, в которой с развитием и усложнением техники пропорционально возрастает значение человеческого фактора, можно найти уже в почти всех сферах профессиональной деятельности человека. В рисковых профессиональных системах (производственная, транспортная энергетическая, информационная и др.), быстрее, чем в других местах, человек освобождается от необходимости выполнять частные операции и начинает регулировать мощные потоки энергии и информации. При этом лавинообразно возрастают уровень его ответственности и цена допускаемых ошибок.

Не смотря на это, во всех существующих системах управления безопасности не учитывается факт, что самая большая угроза является сам человек. Современные технические средства наблюдения, контроля и обработки информации не имеют и не будут еще долго иметь способность к мышлению и быструю комплексную оценку любой возникшей ситуации. Поэтому, единственное эффективное решение проблемы оптимизации безопасности может быть только реализация идеи создания единой человека - технической системы управления безопасности, где ведущую роль будет иметь человек.

Один из подходов исследования влияния человека на безопасность, это использование комплексного или частичного факторного анализа.

Здесь, приложенный подход раскрывает многогранность проблемы и пытается назвать основные факторы, представляющие собой составные части понятия «человеческий фактор», как например - профессиональная подготовка, физическое состояние и ограничения, психологические особенности, факторы окружающей среды, факторы социальной среды, факторы культуры, факторы экипажа, факторы объекта эксплуатации и др.

В основе комплексного факторного анализа исследования влияния человека на безопасность ставиться возможность решения общей задачи через реализацию частных блоков, связанных с учетом человеческого фактора. Такие могут быть - блок управления и организации, блок профессиональной компетентности персонала компании, блок физического состояния и отдыха персонала, блок тренированности экипажей и готовности к действиям в аварийных ситуациях, блок социальных проблем, блок психофизиологических особенностей и межличностных взаимоотношений.

Деление на блоки, с обозначением основных направлений деятельности компаний в каждом из них, с одной стороны, позволяет выработать направления их усилий в этих областях, с другой стороны, составляет основу для оценки эффективности системы безопасности предприятия, экспертами.

Другой подход, это исследование процессов возникновения ошибок и возможностей прогнозирования перехода ситуацию в аварийной.

Подходы проведения комплексного или частичного факторного анализа для решения проблем человеческого влияния на безопасность связанны напрямую с возможностями полного определения и учета всех факторов, влияющих на вероятность совершения ошибок и возникновения аварийной ситуации. Чтобы облегчить определение степени влияния различных дестабилизирующих факторов, необходимо разработать модель развития каждой исследуемой аварийной ситуации. Такая модель должна разделить дестабилизирующие факторы по группам (направлениям) и должна позволить учесть индивидуальных особенностей людей.

Основным звеном предлагаемой модели является руководитель, который должен учитывать все факторы, как технические, так и психофизиологические.

После анализа отдельных ситуаций и учета дестабилизирующих факторов необходимо определить вероятностией совершения ошибок операторов. Ошибки, совершаемые людьми, обычно классифицируются как - нарушения, опасные ошибки, критические ошибки (в зависимости от тяжести последствий от наступления ошибки). Кроме того должны быть разработаны способы предотвращения возникновения ошибок и методы уменьшения последствий совершения ошибок.

Независимо от количества и качества накопленных показателей психофизиологического состояния человека, однозначно определить зависимость его ошибки от различных дестабилизирующих факторов на сегодняшний день не представляется возможным. В этом плане, существующие психодиагностические процедуры, системы экспертного опроса и разработанные алгоритмы действий людей для различных условий, дают возможность выявить только наиболее общие и опасные (с позиции вероятности появления) ошибки действия или бездействия, но это не достаточно.

Естественное продолжение перечисленных подходов являются вероятностные подходы , к нормированию человеческого фактора. В основе разработки вероятностных подходов к нормированию человеческого фактора тоже лежит утверждение, что одна из основных причин аварий на предприятии - это ошибка человека - оператора. Поэтому крайне важно определить степень доверия к надежности всей системы управления безопасностью объекта, рассматривая ее как “человеко - машинную”.

Техническая надежность “машины” поддается количественной оценке с использованием принятых числовых характеристик надежности. Однако определение количественной оценки надежности человеческого фактора крайне затруднительно - ввиду отсутствия достаточно аргументированных методик определения вероятностью отказа (ошибки) оператора в конкретной ситуации при работе с информацией, с учетом его индивидуальных особенностей, ограничений и психофизиологического состояния.

По этой причине высокую актуальность приобретает разработка методов количественной оценки влияния человеческого фактора на безопасность эксплуатируемого объекта.

Подобная процедура должна включать следующие этапы решения этой задачи:

определение и классификация обобщенных эксплуатационных ситуаций;

деление каждой ситуации на отдельные этапы и более простых “под - ситуаций”;

описать всех последовательных отдельных операций, совершаемых человеком в каждой из выявленных ситуаций;

определение и ранжирование дестабилизирующих факторов как по вероятности их проявления, так и по последствиям от совершенных под их давлением человеческих ошибок;

определение “правил действий” людей в различных ситуациях;

определение основных типов ошибок операторов для каждой ситуации;

расчет вероятность появления ошибок при выполнении отдельных действий;

составление профессиограммы и психограммы каждого оператора;

разработка методики определения индивидуальных особенностей людей;

изучение “законов поведения” людей в различных ситуациях;

определение зависимости между дестабилизирующими факторами и индивидуальными особенностями операторов;

Полученные результаты недвусмысленно иллюстрируют, что предвидеть все ошибки человека (а они редко повторяются - «человек учится на своих ошибках») и раскрыть закономерностей влияния очень разнообразного комплекса дестабилизирующих факторов на безопасности предприятия, пока является невозможным.

Некоторые авторы считают, что один из путей решения проблемы безопасности заключается в прогрессивном уменьшении влияния человеческого фактора - путем передачи части функций от человека оператора системам искусственного интеллекта.

Считается, что от человека оператора системам искусственного интеллекта можно передать, как простые функций наблюдения и контроля, так и более интеллектуальные, связанные с выработкой решения по оценку и прогнозу обстановки, а также по управлению профессиональной системы (как в простых, так и в нештатных ситуаций). При использовании таких интеллектуальных систем, квалификация человека - оператора ни в коей мере не ставиться под сомнением, но авторы указывают на одно из неоспоримых преимуществ систем искусственного интеллекта - это возможность их круглосуточной стабильной работы и низкая вероятность сбоя из-за влияния психологических факторов.

Однако, построение интеллектуальных систем требует разработки методов накопления и верификации знаний, а также методов оценки состояния объекта управления и методов принятия решений.

Ключевой вопрос при построении любой интеллектуальной системы - это закладываемый в нее принцип представлении знаний. Без хранения и использования знаний из определенной предметной области система не сможет решать сколько - ни будь интеллектуальные задачи в ней. Поэтому, необходимо выбрать систему представления знаний (т. е, их формализации, в удобной для машинной обработки виде).

Используемые в настоящее время парадигмы представления знаний неявно основаны на широко используемом принципе разделения функций и данных. Это приводит к тому, что все современные системы представления знаний предполагают создания базы знаний и их использования в интеллектуальных системах посредством универсальных или специализированных механизмов - решателей. Такие базы знаний могут быть построены на различных принципах (продукционные системы, семантические сети, фреймы). Но для всех этих подходов характерна общая черта - статичность знаний, представленных в этих системах.

База знаний, созданная с использованием перечисленных принципов, способна существовать в неизменном виде неограниченно долгое время. При этом знания могут использоваться интеллектуальной системы.

Статичность базы знаний не означает неизменности содержащихся в ней знаний. Знания могут изменяться или дополняться, в случае необходимости, самой интеллектуальной системой. Однако, если содержимое базы знаний не меняется, это никак не сказывается на самой базе знаний.

Статичные базы знаний представляют собой весьма полезный компонент современных интеллектуальных систем. Тем не менее, это качество не соответствует свойствам естественного интеллекта. Естественный интеллект не может быть статичным по своей природе. Знания, присущие естественному интеллекту, либо пополняются и развиваются, либо забываются и деградируют. И еще, знания каждого индивида уникальны и зависят от его предыстории.

Для моделирования естественного интеллекта, некоторые авторы предлагают использовать новую перспективную концепцию представления знаний, моделирующие не только их содержимое, но и динамику (концепция динамических, семантических сетей (ДСС).

Основные принципы теории динамических семантических сетей заключаются в следующем: в основу представления знаний положена семантическая сеть, узлы которой - выполняемые в реальном времени вычислительные процессы. Каждый узел по отдельности обладает некоторой долей информацией, множеством функций по обработке информации, поведением и временем жизни. Этот узел соединен различными связями с другими узлами сети. В совокупности узлы (и структура их связей) формализуют некоторые знания о конкретной предметной области. Однако, в отличие от традиционных семантических сетей, динамическая семантическая сеть не только содержит в себя знания, но сама обрабатывает всю поступающую информацию - новые знания, запросы и т. п. Это обеспечивается работой всех узлов сети. Поскольку каждый узел сети функционирует в реальном времени, даже при отсутствии какой либо информации извне сети они постоянно изменяют как себя, так и структуру своих связей. Тем самым вся сеть постоянно работает, «обобщая» и «обдумывая» свои текущие знания.

Повидимому, ДСС обладает хорошими способностями к самообучению, но для нормального функционирования безопасности информационной сети необходимо постоянное (или периодическое) поступление новой информации о состоянии предметной области - для обновления и уточнения знании системы, а е эта задача пока трудно разрешима. В противном случае динамическая сеть начнет «забывать» содержащиеся в ней знания и постепенно начнет деградировать.

Есть еще и другие перспективные подходы по разработки и внедрения интегрированных систем поддержки принятия решений. Такие подходы обеспечивают сбор и обработку информации до уровня подготовки проекта решения и снижают весьма высокого уровня информационной нагрузки на оператора. Созданные системы поддержки принятия решений повышают значительно обоснованность решений, принимаемых в ординарных условий, но не могут оказывать реальную поддержку руководителям на этапах возникновения, развития и ликвидации аварийных ситуаций .

Самым доступным способом оптимизации влияния «человеческого фактора» на безопасность считается усовершенствование и развитие системы профессиональной подготовки, но в последнее время анализ статистики кризисных ситуаций показывает, что причиной возникновения аварий, катастроф и терактов все реже является недостаточная профессиональная подготовка и отсутствие достаточного практического опыта отдельных операторов (порядка 14 - 15%). Как правило, специалисты достаточно подготовлены в профессиональном отношении, а все более, частой причиной аварийного состояния отдельных предприятий является сознательное немотивированное нарушение существующих инструкций и правил безопасности (Табл. 1).

Таблица 1 Относительное распределение нарушений в безопасности( аварий или аварийных случаев) в зависимости причин, их вызывающих (по данным «CG» США)

№	Группа причин	Процент распределения аварий [%]
1. 2. 3. 4. 5.	Управленческая Состояние оператора Условия эксплуатации Подготовка оператора Ошибочные решения	30 22 20 14 14

На основания анализа указанных и других существующих подходов учета влияния человеческого фактора на безопасность, можно сделать некоторых обобщенных выводов.

Основной недостаток этих и других подобных подходов заключается в описательности производственных процессов в соответствии со стандартами качества и в определении правил действий без детального определения и учета “законов поведения” людей. Оопределение “законов поведения”, в свою очередь, связано с созданием психологической службы и ежедневного психологического обеспечения профессиональной деятельности всех работников компании, что на практике является невыполнимым.

В конечном итоге остаются нерешенными самые важные задачи для определения влияния человеческого фактора на безопасность:

детальная классификация дестабилизирующих факторов;

уточнение условий перехода штатных ситуаций в опасных и критических;

разработка методику учета индивидуальных особенностей поведения людей в различных условиях их профессиональной деятельности;

Самая важная особенность результатов исследования человеческого поведения состоится в том, что практически нигде не указывается на каких-либо факторов, которые могут быть постоянным коррективом для оценки и прогнозирования поведения человека в различных жизненных ситуаций. Исследование природы человеческого поведения, как в ординарных, так и в экстремальных ситуациях пока находится на начальном стадии развития. Здесь препятствием является много вариантность моделируемых процессов, которая ведет к несистематичность в исследований и не разрешает полностью раскрыть всех закономерностей воздействия обнаруженных психогенных факторов.

Можно указать на различные подходы исследования человеческого поведения как, например изучение т. н. “психология коллектива (экипажа)”, работы по исследованию “культуры безопасности” - management participation, работы по составлению некоторой матрицы черт индивида таким образом, чтобы можно было предсказать его поведение и др.

Сейчас, прогнозирование поведения людей сводиться обычно к диагностику когнитивных способностей, тестирования личностных свойств человека в рамках профотбора и профориентации, исследования отдельных характеристик темперамента или раскрытия человеческих потребностей. Но проблема влияния человеческого «фактора» на безопасность может быть решена только путем проведения комплексного теоретического и экспериментального исследования человеческого поведения, с охватом всех психодинамических процессов, сопутствующих его деятельности.

Черты человека - удобные инструменты для анализа индивидуальной структуры человеческих потребностей, консультирования по вопросам выбора профессии, но непригодные для анализа причин опасного поведения человека.

Для полного учета влияния человека на всех аспектах безопасности предприятия нужен новый подход - подход рассмотрения безопасности как «состояние среды» профессиональной деятельности. Такой подход предполагает учет человеческого поведения во всех трех компонентах трудового процесса - техническое средство (объект), человек (субъект) и условия работы.

Человек со своими решениями влияет как на состояние объекта (качество проектирования и производства), так и на надежности его эксплуатации. Человек либо оценивает, либо сам предопределяет своим поведением, все условия проведения безопасности. От него зависит также уровень проводимых мероприятий по четырем самым важным функциям обеспечения безопасности как таковой - прогнозирование ожидаемых угроз, мониторинг обстановки, анализ ситуаций и действий по обеспечению безопасности.

Для реализации предлагаемого подхода необходимо решить следующие главные задачи:

Разработка принципов и подходов оптимизации влияния человеческого поведения как базовый фактор достижения безопасности;

Разработка методологических и организационных основ оптимизации влияния человеческого поведения на безопасность;

Обоснование комплексов критерий и мероприятий по совершенствованию систем управления безопасностью;

Для реализации задачи по оптимизации человеческого поведения необходимо провести комплексное теоретическое и практическое исследование в следующих направлениях:

Обоснование единой модели человеческого поведения, раскрывающей логику мотивации и целостную динамику процесса принятия решения;

Раскрытия «естественных законов» поведения человека и несоответствия им существующих правил;

Дифференциация факторов, влияющих на безопасность, человеческой деятельности в различных ситуациях;

Разработку научно-обоснованной методики учета, оценки, нормирования и прогнозирования действий выведенных поведенческих факторов;

Теоретическом и экспериментальном изучении специфических проблем безопасности отдельных видов деятельности и выявление проистекающих, в связи с этим, особенностей человеческого поведения;

Разработку методик преобразования и реорганизации всех существующих аспектов человеческой деятельности, на основе разработанных принципов и критериев учета человеческого фактора.



Заключение

Прежде всего, проблема информационной безопасности - это проблема выбора человека - выбора воспринимаемой информации, поведения в обществе и государстве, выбора круга общения. Необходимо точное понимание и осознавание себя в мире, в обществе, осознания целей и средств для их достижения, сознательно обрабатывать информацию и транслировать только проверенную, точную и объективную информацию.

Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

Итак, информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность. Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.



Список используемой литературы

1. Вилкас Э.Й. Решения: теория, информация, моделирование. М., 2011. -196 с.

2. Введение в информационную безопасность. Компьютеры: преступления, признаки уязвимости и меры защиты. М., 2008.- 315 с.

3. Ловцов Д.А. Информационная безопасность больших эргатических систем: концептуальные аспекты. М., 2008.- 214 с.

4. Информационная безопасность и защита информации. Мельников В.П., Клейменов С.А., Петраков А.М., 3-е изд., стер. - М.: Академия, 2012. -- 336 с.

5. Федеральный закон «Об участии в международном информационном обмене» от 04.07.1996 г. №85-ФЗ.

6. Волоткин А.В., Маношкин А.П. Информационная безопасность. М.: НТЦ «ФИОРД-ИНФО», 2012. - 235 с.

7. Короткое Э.М. Концепция менеджмента. - М.: Дека, 2006. - 180 с.

8. Управление персоналом современной организации / Под ред. Шекшня С.В. -М.: Интел-Синтез, 2013 - 368с.

9. Управление персоналом организации. Под ред. Кибанова А.Я., - 3-е изд., доп. и перераб. - М.: ИНФРА-М, 2005. - 638 с.

10. Родичев Ю.А. Информационная безопасность. Учебное пособие - М.: Академия, 2012. - 356 с.

Размещено на Allbest.ru

...