Изучение проблемы обеспечения информационной безопасности предприятия

В связи с этим могут быть даны рекомендации по осуществлению расчета финансовых и материальных вложений в обеспечение безопасности на костяке технологического анализирования угроз и рисков, совершить сопоставление затрат на обеспечение безопасности с возможным уроном и возможностью его появления. Надо открывать и проводить первоочередное блокирование не менее тяжелых уязвимостей до исполнения штурмов на наиболее уязвляемые и важные в компании ресурсы. Надлежит найти функциональные связи и зоны ответственности в периодах взаимодействия различных структурных подразделений и субъектов по обеспечению информационной безопасности компании, и в том числе необходимо разработать нужный пакет организационно-распорядительной документации. В то же время необходимо реализовывать разработку и координирование со службами организации, органы, которые осуществляют наблюдение проекта введения нужного комплекса защиты, манкирующего нынешнюю величину и тенденции формирования информационных технологий. Наряду с этим, значительным мероприятием помощи системе безопасности информации выказывается обеспечение поддержания введенного комплекса защиты в соответствии с меняющимися условиями работы компании, постоянными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Система, обеспечивающая защиту информации на предприятии, может иметь в виду таковые цели как предупреждение утечки, кражи, потери, коверкания, фальшивки информации; отведение противоправных поступков по истреблению, видоизменению, искривлению, имитированию, снятию блокировки информации; предупреждение прочих конфигураций противозаконного вторжения в информационные ресурсы и информационные системы.

Кроме всего вышесказанного система информационной безопасности направлена на снабжение неизменного функционирования предмета: предупреждение угроз его безопасности, предохранение легитимных заинтересованностей хозяина информации от противозаконных покушений, так же деяний, которые подлежат уголовному наказанию в анализируемой области взаимоотношений, предусматриваемых УК РФ.

Непременным условием результативного осуществления нижеследующих целей показывается обязательная проверка качества услуг, которые могут быть предоставлены, а так же снабжение гарантии неопасности в отношении имущественных прав и интересов клиентов компании.

Касательного этого, система информационной безопасности должна базироваться на следующих принципах:

- прогнозирование и своевременное выявление угроз безопасности информационных ресурсов, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и, тем самым, ослабление возможного негативного влияния последствий нарушения информационной безопасности.

При разработке политики безопасности рекомендуется использовать модель, основанную на адаптации общих критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарт)' ISO/IEC 15408 "Информационная технология - методы защиты - критери0и оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью".



Рис 2. Модель построения корпоративной системы защиты информации

Представленная модель описывает совокупность объективных внешних и внутренних факторов и демонстрирует их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Данная модель включает следующие объективные факторы:

- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

- уязвимости информационной системы или системы контрмер, влияющие на вероятность реализации угрозы;

- риск - фактор, которые отражает вероятные потери в компании в результате применения угрозы информационной безопасности: потери информации и ее незаконного использования.

Предложенная методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходы на дополнительные меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и реализации защиты на всех стадиях жизненного цикла информационных систем, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

Приведём классификацию средств защиты информации.

Средства защиты от несанкционированного доступа (НСД):

- Средства авторизации;

- Мандатное управление доступом;

- Избирательное управление доступом;

- Управление доступом на основе ролей;

- Журналированые (так же называется Аудит).

- Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

- Системы обнаружения и предотвращения вторжений (IDS/IPS);

- Системы предотвращения утечек конфиденциальной информации (DLP-системы).

- Анализаторы протоколов.

- Антивирусные средства.

- Межсетевые экраны.

- Криптографические средства:

- Шифрование;

- Цифровая подпись.

- Системы резервного копирования.

- Системы бесперебойного питания:

- Источники бесперебойного питания;

- Резервирование нагрузки;

- Генераторы напряжения.

Системы аутентификации:

- Пароль;

- Сертификат;

- Биометрия.

- Средства предотвращения взлома корпусов и краж оборудования.

- Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

- Мониторинговый программный продукт

Обеспечение корректной работы со сведениями конфиденциального характера осуществляется в следующей последовательности. Составляется перечень сведений, имеющих конфиденциальный характер, который затем утверждается руководителем организации. В трудовые договора вносится пункт об ответственности за некорректную работу с конфиденциальными сведениями, несоблюдение, которого влечет привлечение сотрудников-нарушителей к административной или уголовной ответственности,

С помощью комплексного использования различных программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей их эффективности. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты, программы защиты от сетевых вторжений, программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.

Разработка регламентов информационной безопасности при использовании телекоммуникаций, соблюдение персоналом регламентов, внутренних нормативных актов, а также внедрение мероприятий по достижению конфиденциальности, целостности и доступности информации позволят не только повысить результативность системы информационной безопасности, но и будут способствовать укреплению внешних позиций предприятия.



2.2 Разработка комплекса мер по обеспечению информационной безопасности предприятия

Обеспечение информационной безопасности достигается системой мер, направленных:

- на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

- на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

- на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

- на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

- на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

Предупреждение угроз возможно и путем получения (если хотите - и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.

В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные". Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.

Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:

- предотвращение разглашения и утечки конфиденциальной информации;

- воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;

- соблюдение конфиденциальности информации;

- обеспечение авторских прав.

Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.

Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.

Защита от несанкционированного доступа к конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД. На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:

- организационные (в части технических средств);

- организационно-технические;

- технические.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

В общем плане организационные мероприятия предусматривают проведение следующих действий:

- определение границ охраняемой зоны (территории);

- определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

- определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

- выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;

- реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.

Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.

Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.

Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.

Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации.

В этих целях возможно использование: технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.; технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.

Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.

Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).

Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.

Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.

Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории. Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию. Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.

Подавление - это создание активных помех средствам злоумышленников.

Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.

Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.

Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу.

Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и др.

Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса.

По направлениям - это правовая, организационная и инженерно-техническая защита.

По способам - это предупреждение, выявление, обнаружение, пресечение и восстановление.

По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры или технических средств и систем или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к ним или оборудования каналов утечки информации.

Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику.

Источником информации могут быть люди, документы, технические средства, отходы и др. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т.д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).

Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации. Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать и др.) источник информации. С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:

- несанкционированные и злоумышленные действия персонала и пользователя;

- ошибки пользователей и персонала;

- отказы аппаратуры и сбои в программах;

- стихийные бедствия, аварии различного рода и опасности.

В соответствии с этими основными целями защиты информации в ПЭВМ и информационных сетях являются:

- обеспечение юридических норм и прав пользователей в отношении доступа к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы;

- предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;

- обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения.

В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать:

- определение содержания передаваемых сообщений;

- внесение изменений в сообщения;

- необоснованный отказ в доступе;

- несанкционированный доступ;

- ложную инициализацию обмена;

- возможность измерения и анализа энергетических и других характеристик информационной системы.

Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного о; такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи).

В каждом конкретном случае реализации информационного контакта используются и свои специфические способы воздействия, как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характеризующую взаимосвязь целей защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределенных автоматизированных системах. Одновременно на ней отражены и защитные возможности тех или иных механизмов.

2.3 Роль человеческого фактора как фактора безопасности предприятия

Обеспечение информационной безопасности предприятия, в которой с развитием и усложнением техники пропорционально возрастает значение человеческого фактора, можно найти уже в почти всех сферах профессиональной деятельности человека. В рисковых профессиональных системах (производственная, транспортная энергетическая, информационная и др.), быстрее, чем в других местах, человек освобождается от необходимости выполнять частные операции и начинает регулировать мощные потоки энергии и информации. При этом лавинообразно возрастают уровень его ответственности и цена допускаемых ошибок.

Не смотря на это, во всех существующих системах управления безопасности не учитывается факт, что самая большая угроза является сам человек. Современные технические средства наблюдения, контроля и обработки информации не имеют и не будут еще долго иметь способность к мышлению и быструю комплексную оценку любой возникшей ситуации. Поэтому, единственное эффективное решение проблемы оптимизации безопасности может быть только реализация идеи создания единой человека - технической системы управления безопасности, где ведущую роль будет иметь человек.

Один из подходов исследования влияния человека на безопасность, это использование комплексного или частичного факторного анализа.

Здесь, приложенный подход раскрывает многогранность проблемы и пытается назвать основные факторы, представляющие собой составные части понятия "человеческий фактор", как например - профессиональная подготовка, физическое состояние и ограничения, психологические особенности, факторы окружающей среды, факторы социальной среды, факторы культуры, факторы экипажа, факторы объекта эксплуатации и др.

В основе комплексного факторного анализа исследования влияния человека на безопасность ставиться возможность решения общей задачи через реализацию частных блоков, связанных с учетом человеческого фактора. Такие могут быть - блок управления и организации, блок профессиональной компетентности персонала компании, блок физического состояния и отдыха персонала, блок тренированности экипажей и готовности к действиям в аварийных ситуациях, блок социальных проблем, блок психофизиологических особенностей и межличностных взаимоотношений.

Деление на блоки, с обозначением основных направлений деятельности компаний в каждом из них, с одной стороны, позволяет выработать направления их усилий в этих областях, с другой стороны, составляет основу для оценки эффективности системы безопасности предприятия, экспертами.

Другой подход, это исследование процессов возникновения ошибок и возможностей прогнозирования перехода ситуацию в аварийной.

Подходы проведения комплексного или частичного факторного анализа для решения проблем человеческого влияния на безопасность связанны напрямую с возможностями полного определения и учета всех факторов, влияющих на вероятность совершения ошибок и возникновения аварийной ситуации. Чтобы облегчить определение степени влияния различных дестабилизирующих факторов, необходимо разработать модель развития каждой исследуемой аварийной ситуации. Такая модель должна разделить дестабилизирующие факторы по группам (направлениям) и должна позволить учесть индивидуальных особенностей людей.

Основным звеном предлагаемой модели является руководитель, который должен учитывать все факторы, как технические, так и психофизиологические.

После анализа отдельных ситуаций и учета дестабилизирующих факторов необходимо определить вероятностией совершения ошибок операторов. Ошибки, совершаемые людьми, обычно классифицируются как - нарушения, опасные ошибки, критические ошибки (в зависимости от тяжести последствий от наступления ошибки). Кроме того должны быть разработаны способы предотвращения возникновения ошибок и методы уменьшения последствий совершения ошибок.

Независимо от количества и качества накопленных показателей психофизиологического состояния человека, однозначно определить зависимость его ошибки от различных дестабилизирующих факторов на сегодняшний день не представляется возможным. В этом плане, существующие психодиагностические процедуры, системы экспертного опроса и разработанные алгоритмы действий людей для различных условий, дают возможность выявить только наиболее общие и опасные (с позиции вероятности появления) ошибки действия или бездействия, но это не достаточно. информация предприятие вирус безопасность

Естественное продолжение перечисленных подходов являются вероятностные подходы, к нормированию человеческого фактора. В основе разработки вероятностных подходов к нормированию человеческого фактора тоже лежит утверждение, что одна из основных причин аварий на предприятии - это ошибка человека - оператора. Поэтому крайне важно определить степень доверия к надежности всей системы управления безопасностью объекта, рассматривая ее как "человеко-машинную".

Техническая надежность "машины" поддается количественной оценке с использованием принятых числовых характеристик надежности. Однако определение количественной оценки надежности человеческого фактора крайне затруднительно - ввиду отсутствия достаточно аргументированных методик определения вероятностью отказа (ошибки) оператора в конкретной ситуации при работе с информацией, с учетом его индивидуальных особенностей, ограничений и психофизиологического состояния.

По этой причине высокую актуальность приобретает разработка методов количественной оценки влияния человеческого фактора на безопасность эксплуатируемого объекта.

Подобная процедура должна включать следующие этапы решения этой задачи:

- определение и классификация обобщенных эксплуатационных ситуаций;

- деление каждой ситуации на отдельные этапы и более простых "под - ситуаций";

- описать всех последовательных отдельных операций, совершаемых человеком в каждой из выявленных ситуаций;

- определение и ранжирование дестабилизирующих факторов как по вероятности их проявления, так и по последствиям от совершенных под их давлением человеческих ошибок;

- определение "правил действий" людей в различных ситуациях;

- определение основных типов ошибок операторов для каждой ситуации;

- расчет вероятность появления ошибок при выполнении отдельных действий;

- составление профессиограммы и психограммы каждого оператора;

- разработка методики определения индивидуальных особенностей людей;

- изучение "законов поведения" людей в различных ситуациях;

- определение зависимости между дестабилизирующими факторами и индивидуальными особенностями операторов;

Полученные результаты недвусмысленно иллюстрируют, что предвидеть все ошибки человека (а они редко повторяются - "человек учится на своих ошибках") и раскрыть закономерностей влияния очень разнообразного комплекса дестабилизирующих факторов на безопасности предприятия, пока является невозможным.

Некоторые авторы считают, что один из путей решения проблемы безопасности заключается в прогрессивном уменьшении влияния человеческого фактора - путем передачи части функций от человека оператора системам искусственного интеллекта.

Считается, что от человека оператора системам искусственного интеллекта можно передать, как простые функций наблюдения и контроля, так и более интеллектуальные, связанные с выработкой решения по оценку и прогнозу обстановки, а также по управлению профессиональной системы (как в простых, так и в нештатных ситуаций). При использовании таких интеллектуальных систем, квалификация человека - оператора ни в коей мере не ставиться под сомнением, но авторы указывают на одно из неоспоримых преимуществ систем искусственного интеллекта - это возможность их круглосуточной стабильной работы и низкая вероятность сбоя из-за влияния психологических факторов.

Однако, построение интеллектуальных систем требует разработки методов накопления и верификации знаний, а также методов оценки состояния объекта управления и методов принятия решений.

Ключевой вопрос при построении любой интеллектуальной системы - это закладываемый в нее принцип представлении знаний. Без хранения и использования знаний из определенной предметной области система не сможет решать сколько - ни будь интеллектуальные задачи в ней. Поэтому, необходимо выбрать систему представления знаний (т. е, их формализации, в удобной для машинной обработки виде).

Используемые в настоящее время парадигмы представления знаний неявно основаны на широко используемом принципе разделения функций и данных. Это приводит к тому, что все современные системы представления знаний предполагают создания базы знаний и их использования в интеллектуальных системах посредством универсальных или специализированных механизмов - решателей. Такие базы знаний могут быть построены на различных принципах (продукционные системы, семантические сети, фреймы). Но для всех этих подходов характерна общая черта - статичность знаний, представленных в этих системах.

База знаний, созданная с использованием перечисленных принципов, способна существовать в неизменном виде неограниченно долгое время. При этом знания могут использоваться интеллектуальной системы.

Статичность базы знаний не означает неизменности содержащихся в ней знаний. Знания могут изменяться или дополняться, в случае необходимости, самой интеллектуальной системой. Однако, если содержимое базы знаний не меняется, это никак не сказывается на самой базе знаний.

Статичные базы знаний представляют собой весьма полезный компонент современных интеллектуальных систем. Тем не менее, это качество не соответствует свойствам естественного интеллекта. Естественный интеллект не может быть статичным по своей природе. Знания, присущие естественному интеллекту, либо пополняются и развиваются, либо забываются и деградируют. И еще, знания каждого индивида уникальны и зависят от его предыстории.

Для моделирования естественного интеллекта, некоторые авторы предлагают использовать новую перспективную концепцию представления знаний, моделирующие не только их содержимое, но и динамику (концепция динамических, семантических сетей (ДСС).

Основные принципы теории динамических семантических сетей заключаются в следующем: в основу представления знаний положена семантическая сеть, узлы которой - выполняемые в реальном времени вычислительные процессы. Каждый узел по отдельности обладает некоторой долей информацией, множеством функций по обработке информации, поведением и временем жизни. Этот узел соединен различными связями с другими узлами сети. В совокупности узлы (и структура их связей) формализуют некоторые знания о конкретной предметной области. Однако, в отличие от традиционных семантических сетей, динамическая семантическая сеть не только содержит в себя знания, но сама обрабатывает всю поступающую информацию - новые знания, запросы и т.п. Это обеспечивается работой всех узлов сети. Поскольку каждый узел сети функционирует в реальном времени, даже при отсутствии какой либо информации извне сети они постоянно изменяют как себя, так и структуру своих связей. Тем самым вся сеть постоянно работает, "обобщая" и "обдумывая" свои текущие знания.

По-видимому, ДСС обладает хорошими способностями к самообучению, но для нормального функционирования безопасности информационной сети необходимо постоянное (или периодическое) поступление новой информации о состоянии предметной области - для обновления и уточнения знании системы, а е эта задача пока трудно разрешима. В противном случае динамическая сеть начнет "забывать" содержащиеся в ней знания и постепенно начнет деградировать.

Есть еще и другие перспективные подходы по разработки и внедрения интегрированных систем поддержки принятия решений. Такие подходы обеспечивают сбор и обработку информации до уровня подготовки проекта решения и снижают весьма высокого уровня информационной нагрузки на оператора. Созданные системы поддержки принятия решений повышают значительно обоснованность решений, принимаемых в ординарных условий, но не могут оказывать реальную поддержку руководителям на этапах возникновения, развития и ликвидации аварийных ситуаций.

Самым доступным способом оптимизации влияния "человеческого фактора" на безопасность считается усовершенствование и развитие системы профессиональной подготовки, но в последнее время анализ статистики кризисных ситуаций показывает, что причиной возникновения аварий, катастроф и терактов все реже является недостаточная профессиональная подготовка и отсутствие достаточного практического опыта отдельных операторов (порядка 14-15%). Как правило, специалисты достаточно подготовлены в профессиональном отношении, а все более, частой причиной аварийного состояния отдельных предприятий является сознательное немотивированное нарушение существующих инструкций и правил безопасности (Табл. 1).

Таблица 1.

"Относительное распределение нарушений в безопасности аварий или аварийных случаев в зависимости причин, их вызывающих (по данным "CG" США)"

№	Группа причин	Процент распределения аварий %
1. 2. 3. 4. 5.	Управленческая Состояние оператора Условия эксплуатации Подготовка оператора Ошибочные решения	30 22 20 14 14

На основания анализа указанных и других существующих подходов учета влияния человеческого фактора на безопасность, можно сделать некоторых обобщенных выводов.

Основной недостаток этих и других подобных подходов заключается в описательности производственных процессов в соответствии со стандартами качества и в определении правил действий без детального определения и учета "законов поведения" людей. Определение "законов поведения", в свою очередь, связано с созданием психологической службы и ежедневного психологического обеспечения профессиональной деятельности всех работников компании, что на практике является невыполнимым.

В конечном итоге остаются нерешенными самые важные задачи для определения влияния человеческого фактора на безопасность:

- детальная классификация дестабилизирующих факторов;

- уточнение условий перехода штатных ситуаций в опасных и критических;

- разработка методику учета индивидуальных особенностей поведения людей в различных условиях их профессиональной деятельности;

Самая важная особенность результатов исследования человеческого поведения состоится в том, что практически нигде не указывается на каких-либо факторов, которые могут быть постоянным коррективом для оценки и прогнозирования поведения человека в различных жизненных ситуаций. Исследование природы человеческого поведения, как в ординарных, так и в экстремальных ситуациях пока находится на начальном стадии развития. Здесь препятствием является много вариантность моделируемых процессов, которая ведет к несистематичность в исследований и не разрешает полностью раскрыть всех закономерностей воздействия обнаруженных психогенных факторов.

Можно указать на различные подходы исследования человеческого поведения как, например изучение т.н. "психология коллектива (экипажа)", работы по исследованию "культуры безопасности" - management participation, работы по составлению некоторой матрицы черт индивида таким образом, чтобы можно было предсказать его поведение и др.

Сейчас, прогнозирование поведения людей сводиться обычно к диагностику когнитивных способностей, тестирования личностных свойств человека в рамках профотбора и профориентации, исследования отдельных характеристик темперамента или раскрытия человеческих потребностей. Но проблема влияния человеческого "фактора" на безопасность может быть решена только путем проведения комплексного теоретического и экспериментального исследования человеческого поведения, с охватом всех психодинамических процессов, сопутствующих его деятельности.

Для полного учета влияния человека на всех аспектах безопасности предприятия нужен новый подход - подход рассмотрения безопасности как "состояние среды" профессиональной деятельности. Такой подход предполагает учет человеческого поведения во всех трех компонентах трудового процесса - техническое средство (объект), человек (субъект) и условия работы.

Человек со своими решениями влияет как на состояние объекта (качество проектирования и производства), так и на надежности его эксплуатации. Человек либо оценивает, либо сам предопределяет своим поведением, все условия проведения безопасности. От него зависит также уровень проводимых мероприятий по четырем самым важным функциям обеспечения безопасности как таковой - прогнозирование ожидаемых угроз, мониторинг обстановки, анализ ситуаций и действий по обеспечению безопасности.

Для реализации предлагаемого подхода необходимо решить следующие главные задачи:

- Разработка принципов и подходов оптимизации влияния человеческого поведения как базовый фактор достижения безопасности;

- Разработка методологических и организационных основ оптимизации влияния человеческого поведения на безопасность;

- Обоснование комплексов критерий и мероприятий по совершенствованию систем управления безопасностью.

Для реализации данных задач по оптимизации человеческого поведения необходимо выделить следующие комплексные мероприятия по теоретическим и практическим исследованиям в следующих направлениях:

- Обоснование единой модели человеческого поведения, раскрывающей логику мотивации и целостную динамику процесса принятия решения;

- Раскрытия "естественных законов" поведения человека и несоответствия им существующих правил;

- Дифференциация факторов, влияющих на безопасность, человеческой деятельности в различных ситуациях;

- Разработку научно-обоснованной методики учета, оценки, нормирования и прогнозирования действий выведенных поведенческих факторов;

- Теоретическом и экспериментальном изучении специфических проблем безопасности отдельных видов деятельности и выявление проистекающих, в связи с этим, особенностей человеческого поведения;

- Разработку методик преобразования и реорганизации всех существующих аспектов человеческой деятельности, на основе разработанных принципов и критериев учета человеческого фактора.

2.4 Антивирусная безопасность

Самым первым понятием, которая зародилась в рамках информационной безопасности стала "Антивирусная безопасность"

Понятия, связанные с данным направлением, условно можно подразделить на две группы: первые понятия описывают виды вирусов, вторые - разновидности программ обеспечения антивирусной защиты компьютера. Часть понятий, которые связаны с антивирусной безопасностью, но являются ключевыми для другого направления информационной безопасности - хакерства, - будут описаны в следующем параграфе.

К понятиям, связанными с вирусами, мы относим: "компьютерный вирус", "троян", "червь", "руткит", "полиморфизм компьютерного вируса", "стелс-вирус", "клавиатурные шпионы", "макровирусы".

Под компьютерным вирусом понимается программы или элементы программ, несанкционированно проникающие в компьютер с целью нанесения урона. Отличительной особенностью компьютерных вирусов является способность самотиражирования. Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы, т.е. заражение происходит аналогично биологическим вирусам. Примеры компьютерных вирусов Stuxnet,Virus 1,2,3, ElkCloner и др.

Одним из понятий, связанным с компьютерными вирусами, является полиморфизм компьютерного вируса - техника, позволяющая затруднить обнаружение компьютерного вируса с помощью скан-строк и, возможно, эвристики. Вирус, использующий такую технику, называется полиморфным. Любые два файла, зараженные одним и тем же полиморфным вирусом, с большой вероятностью не будут иметь совпадающие подпоследовательности в зараженных частях файлов. Среди полиморфных вирусов выделяют Phantom1, OneHalf, Satanbug.

Стелс-вирус (англ. stealthvirus - вирус-невидимка) - вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.). Среди стелс-вирусов выделяют Frodo, Centuryvirus (столетие), Hiding (прячущийся).

Макровирусы - это программы, написанные на так называемых макроязыках, встроенных в некоторые системы обработки данных (текстовые и графические редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков, они переносятся от одного зараженного файла к другому. Наибольшее распространение получили макровирусы для MicrosoftWord, Excel. Макровирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Большинство макровирусов являются резидентными вирусами: они активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам текстовый или табличный процессор. Среди макровирусов выделяют DeleteAHTemp, WordMacro/Concept, WordMacro/MDMA.

Червь (worm) - это программа, которая тиражируется на жестком диске или в памяти компьютера, и распространяется по сети. Особенностью червей, отличающих их от других вирусов, является то, что они не несут в себе никакой вредоносной нагрузки, кроме саморазмножения, для замусоривания памяти, и как следствие, затормаживание работы операционной системы. Среди червей можно выделить Melissa, сетевой червь Mytob.c, Slammer и т.д.

Троян или троянский конь - это программа, которая находится внутри другой, как правило, абсолютно безобидной программы. При запуске последней в систему инсталлируются программа, написанная с единственной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Среди троянов можно выделить Backdoor, Trojan-PSW, Trojan-Dropper, Trojan-Clicker. Троянские программы являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий.

Руткит - программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для "заметания следов" вторжения в систему. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе. Руткит, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились "навесные" руткитные библиотеки. Многие руткиты устанавливают в систему свои драйверы и службы. Среди руткитов выделяют HackerDefender, Haxdoor.

Клавиатурные шпионы (KeyboardLogger, KeyLogger, кейлоггер) - это программы для скрытной записи информации о нажимаемых пользователем клавишах. У термина "клавиатурный шпион" есть ряд синонимов - "снупер", "snoop", "snooper" (от англ. snoop - буквально "человек, вечно сующий нос в чужие дела"). Среди клавиатурных шпионов выделяют ActualSpy, EliteKeylogger, ArdamaxKeylogger.

Современные клавиатурные шпионы не просто записывают коды вводимых клавиш - они "привязывают" клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Записываемая информация сохраняется на диске. Большинство современных клавиатурных шпионов могут формировать различные отчеты, могут передавать их по электронной почте или http/ftp протоколу. Кроме того, ряд современных клавиатурных шпионов пользуются Rootkit технологиями для маскировки следов своего присутствия в системе.

Для системы клавиатурный шпион, как правило, безопасен. Однако он чрезвычайно опасен для пользователя - с его помощью можно перехватить пароли и прочую конфиденциальную информацию, вводимую пользователем. К сожалению, в последнее время известны сотни разнообразных кейлоггеров, причем многие из них не детектируются антивирусами.

Во вторую группу понятий рассматриваемого направления относятся понятия, связанные с обеспечением безопасной работы пользователя на компьютере и противостояния вирусным угрозам, а также виды методик обнаружения и защиты от вирусов.

В настоящее время применяется несколько основополагающих методик обнаружения и защиты от вирусов:

- сканирование;

- эвристический анализ;

- использование антивирусных мониторов;

- обнаружение изменений;

- иммунизация.

Самая простая методика поиска вирусов - сканирование - заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Сейчас на рынке программного обеспечения представлен достаточно широкий спектр антивирусных программ. Чтобы правильно использовать антивирусные средства, необходимо различать их по назначению. Существуют несколько видов программных средств борьбы с вирусами - это сканеры (фаги, полифаги), ревизоры диска (CRC-сканеры),резидентные мониторы и иммунизаторы [8; С. 14-17].

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Сканеры можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например, макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, к которым сканерам приходится обращаться, и относительно небольшую скорость поиска вирусов.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и затем восстановить его из резервной копии.