Хелпикс

Главная

Контакты

Случайная статья





Annotation 5 страница



Оценка информации составляет следующий этап. Под оценкой понимается метод ранжирования источников информации, самой информации и способов ее получения. Как правило, пользуются системой оценок информации, при которой аналитик может выразить свою точку зрения относительно надежности и достоверности полученных сведений, хотя очевидным недостатком данной системы будет определенная субъективность оценок. Например:

Оценка источника:

• надежный источник;

• обычно надежный источник;

• довольно надежный источник;

• не всегда надежный источник;

• ненадежный источник;

• источник неустановленной надежности. Оценка информации:

• подтвержденная другими фактами;

• вероятно правдивая (75 %);

• возможно правдивая (50 %);

• сомнительная (25 %);

• неправдоподобная;

• достоверность не поддается определению.

Оценка способа получения информации источником:

• получил информацию сам (сам видел, слышал и т. п. );

• получил информацию через постоянный источник (через информатора, открытые источники и т. п. );

• получил информацию через разовый источник (случайно подслушанный разговор, слухи и т. п. ).

На этапе оценки необходимо установить, насколько информация может соответствовать истине. При этом нужно учитывать, что можно получить не соответствующую истине информацию следующих типов:

• дезинформацию, доведенную до сведения источника;

• преднамеренно или непреднамеренно искаженную источником;

• произвольно или непроизвольно измененную в ходе передачи. При намеренной дезинформации применяется заведомая ложь, полуправда, а также правдивые сведения, которые в данном контексте подтолкнут воспринимающих информацию лиц к ложным выводам.

Искажения, возникающие в процессе передачи исходных данных, могут происходить по многим причинам:

• передача только части сообщения;

• пересказ услышанного своими словами;

• факты, искаженные чьим-либо субъективным восприятием.

Для своевременного выявления искаженной информации, а также для успешной борьбы с вероятной дезинформацией необходимо различать факты и мнения, учитывать субъективные характеристики источника и его предполагаемое отношение к выдаваемому сообщению. Следует четко осознавать, способен ли источник по своему положению иметь доступ к сообщаемым фактам. В качестве страховочных мер всегда нужно иметь дублирующие источники, использовать дублирующие каналы связи и стараться исключать все лишние промежуточные звенья передачи информации. Кроме того, необходимо помнить, что особенно легко воспринимается та дезинформация, которая хорошо соответствует принятой ранее версии, т. е. та, которую предполагают или желают получить.

Следующим этапом является построение предварительных версии, объясняющих место основных полученных фактов в цепи событий. Первым шагом является составление списка сведений, приготовленных для анализа. Это необходимо для дальнейшего ранжирования их по степени важности, кроме того, это является некой гарантией того, что сведения не выпадут из поля зрения и о них не забудут. Далее необходимо выделить ключевые моменты, отделить их от менее важных, не играющих главной роли в данной ситуации. Полученные сведения должны быть четко классифицированы по степени достоверности источника, самих сведений и способа их получения. Самые свежие и полные сведения должны рассматриваться в первую очередь. В перечне сведений, приготовленных для анализа, наиболее важные сведения специально помечаются. Материалы с пометками «источник неустановленной надежности» и «достоверность не поддается определению» откладываются и не участвуют в анализе без крайней необходимости.

Затем необходимо выявить все возможные гипотезы, которые могут объяснять ключевые события, и, расположив их по степени вероятности, поочередно проверять на стыкуемость со всеми данными. Если обнаружено значительное расхождение какой-либо предварительной гипотезы с полученными сведениями, причем последние имеют достаточно высокие оценки достоверности, то следует переходить к следующей гипотезе. Таким образом, выбираются наиболее вероятные предположения. На этом этапе возникает одна из самых серьезных проблем аналитической работы – противоречия в сведениях. Для ее преодоления необходимо сравнить оценки информации и источника, даты получения спорных сведений. Решающее же значение имеет интуиция, знания и опыт самого сотрудника, проводящего анализ. Конфликты в информации должны быть устранены в процессе анализа, для их разрешения собирается дополнительная информация, что соответствует следующему этапу аналитической работы. Если решение, которое будет принято на основе аналитически обработанной информации, является очень важным и нет возможности получить дополнительную информацию для устранения противоречий, то окончательный выбор возлагается на лиц, ответственных за принятие решения. Тем не менее общая доля таких ситуаций должна сводиться к минимуму, так как это свидетельствует о неудовлетворительной работе ИАС.

Следующим этапом является определение потребности в дополнительной уточняющей информации, а также выяснение, какая именно информация необходима и почему. На этом этапе выявляются пробелы в информации. Часть пробелов может быть быстро установлена, так как является результатом недостаточного исследования, другая же часть пробелов в информации может и не быть обнаружена аналитиком, потому что упущена на этапе сбора самих сведений. Очевидно, что второй вид пробелов в информации является гораздо более опасным.

Необходимо четко различать понятия «неполная информация» и «пробел в информации». Неполная информация означает отсутствие не имеющих особой важности сведений, что является естественным, так как никогда нельзя получить абсолютно все сведения. Более того, такая информация была бы избыточной и осложнила бы анализ. Пробел же в информации подразумевает отсутствие сведений, являющихся ключевыми в данной ситуации или необходимыми для устранения противоречий. Такие сведения крайне важны для проведения анализа.

Выявив пробелы в информации, нужно определить их важность для дальнейшего анализа. Нельзя до бесконечности откладывать составление аналитического отчета под предлогом того, что в информации выявлены пробелы. На определенном этапе следует признать, что для решения задачи собрано достаточно данных. Кроме того, имеют значение факторы времени и денег, потому что решение проблемы ограничено тем и другим. Сотрудники ИАС должны стремиться к решению поставленной задачи имеющимися средствами и в разумные сроки.

На основе выполнения предыдущих этапов приступают к подготовке аналитических отчетов по определенному вопросу, выработке конкретных выводов и предложений. Подготовка отчетов является основной обязанностью аналитика, а готовый отчет представляет собой результат функционирования системы аналитической работы. Отчеты могут быть представлены в различных формах. Наиболее часто отчет составляется в письменном виде, но он также может быть устным, иллюстрируемым графиками, таблицами, диаграммами и т. п. Если сроки жестко ограничены, отчет излагается устно, в форме вопросов и ответов.

В зарубежной литературе выделяют три основных вида аналитических отчетов. Первый вид называют тактическим (оперативным) отчетом. К этому типу относятся экстренные отчеты по какому-либо вопросу небольшого объема, которые необходимы для срочного принятия решения. При этом аналитика редко знакомят с причиной или целью данного задания. Такие отчеты составляются по разовым направлениям аналитической работы. Второй вид составляют стратегические отчеты. Они содержат более полную информацию и менее ограничены сроками. В них включается подробная предыстория данной проблемы и прогноз ее дальнейшего развития, причем для построения реалистичной гипотезы анализируется вся предшествующая информация по данной теме. Отчеты такого типа соответствуют постоянным направлениям аналитической работы. Третий вид представлен периодическими отчетами, основной отличительной особенностью которых является то, что они готовятся по графику. Интервалы между сроками предоставления составляют дни, недели или месяцы. Как правило, такой вид отчетов готовится по проблемам, являющимся объектом постоянного пристального внимания со стороны ИАС фирмы. Этот вид может соответствовать как периодическим, так и постоянным направлениям аналитической работы.

Все письменные отчеты должны содержать глубокий анализ и быть представлены в регламентированной (типовой, унифицированной) форме. Потребителями аналитических отчетов являются ответственные за планирование и принятие решений лица, которые вправе предъявлять определенные требования к содержанию и оформлению отчетов. Аналитический отчет должен быть четко, логично и грамотно составлен. Кроме того, отчет должен абсолютно соответствовать месту сотрудника – потребителя информации в разрешительной системе доступа к конфиденциальной информации: по степени конфиденциальности используемых в отчете сведений, профилю профессиональных знаний сотрудника и деловой необходимости информации для конкретной работы. Нужно учитывать также и то, что внешний вид отчета обязательно будет влиять на восприятие содержащейся в нем информации.

За рубежом используется, как правило, следующая форма изложения данных аналитического отчета:

1) Заключение. Здесь должны содержаться ответы на вопросы, какова степень важности полученной информации, ее значение для принятия конкретных решений, идет ли речь о каких-либо угрозах, подозрениях, выявленных негативных факторах и т. п., какое отношение имеет предмет отчета к другим областям аналитической работы. Факты и сведения, на основе которых получены результаты анализа, не должны смешиваться с самими результатами.

2) Рекомендации. Должны быть указаны конкретные направления дальнейших действий службы безопасности и других структурных подразделений предприятия для улучшения системы безопасности, предотвращения утраты информации, принятия наиболее эффективных решений и т. п.

3) Обобщение информации. Изложение самой существенной информации без излишней детализации.

4) Источники и надежность информации. Должны быть указаны предполагаемые оценки надежности данных и источника на момент написания отчета, так как для принятия решений необходимо оценить надежность материалов, являющихся их базой.

5) Основные и альтернативные гипотезы. Обязательно должны указываться рассмотренные в ходе анализа наиболее вероятные гипотезы, что помогает принимать более взвешенные и адекватные решения, а также позволяет еще раз оценить правильность выбранной гипотезы.

6) Недостающая информация. Четко указывается, какая именно дополнительная информация необходима для подтверждения окончательной гипотезы и принятия решения. Описанная структурная схема проведения аналитического исследования позволяет предоставить в распоряжение пользователя, принимающего решение, структурированный массив ценной информации, отражающей с определенной степенью достоверности сложившуюся ситуацию с обеспечением безопасности информационных ресурсов фирмы.

Вопрос 4. Методы аналитической работы
 

Основным назначением всех аналитических методов является обработка полученных сведений, установление взаимосвязи между фактами, выявление значения этих связей и выработка конкретных предложений на основе достоверной и полной, аналитически обработанной информации. Существует широкий спектр специальных методов анализа: графические, табличные, матричные и т. п., например, диаграммы связи и матрицы участников, схемы потоков данных, временные графики, графики анализа визуальных наблюдений VIA (visual investigative analysis) и графики оценки результатов PERT (program evaluation review technique). Тем не менее следует отметить, что у каждого аналитика есть свой собственный метод анализа, который может быть как комбинацией вышеперечисленных методов, так и сугубо индивидуальным, уникальным методом аналитической работы.

С помощью диаграмм связей выявляется наличие связи между субъектами, вовлеченными в конкретную ситуацию, подвергающуюся анализу, а также области общения, соприкосновения этих субъектов. На диаграмме связей отмечают как наиболее прочные, так и вспомогательные связи между субъектами. Анализируются все связи без исключения, так как в ходе развития событий и получения дополнительной информации вспомогательные связи могут выступить на первый план. Для большей наглядности следует также указывать на диаграмме связи должностей (для физических лиц) или род деятельности (для юридических лиц).

Матрицы связей отражают частоту взаимодействия субъектов за определенный период времени. Такой метод анализа дополняет диаграммы связей, позволяет оценить характер взаимодействий между субъектами через частоту таких взаимодействий. При использовании этого метода анализа до его начала необходимо отделить маловажные и не имеющие отношения к делу, пусть даже частые, взаимодействия субъектов.

Схемы потоков информации позволяют оценить то, каким образом происходят события. С их помощью можно анализировать пути движения информации среди субъектов анализа, т. е. оценивать положение каждого субъекта в общей группе и выявлять неустановленные связи между субъектами, используя определенную, специально подготовленную информацию как индикатор. Метод применим для отображения, например, физических процессов, взаимодействия юридических и физических лиц.

Временные графики используются для регистрации событий. Такая форма представления данных помогает не только эффективнее анализировать события, но и более рационально планировать меры противодействия.

Графики анализа визуальных наблюдений VIA являются составной частью графиков оценки результатов PERT. Оба графика составляются по принципу разбивки сложной операции на составные элементы. Такой принцип позволяет наглядно отражать ход событий. В зарубежных странах графики VIA и PERT применяются для анализа тяжких преступлений и террористической деятельности, для повышения эффективности работы предприятий, а также аналитиками служб безопасности для нужд ИАС фирм. В обоих графиках принята одна и та же система символов: события представлены треугольниками и кругами, причем треугольники отмечают начало и конец события, а также наиболее важные моменты операции. Отличием этих типов графиков является то, что график VIA представляет собой схему визуальных наблюдений в процессе одиночного события, а график PERT отражает общий ход событий, является более общим методом анализа. Графики VIA и PERT могут иметь различную степень детализации событий. С их помощью легко вычленить определенную схему в действиях субъектов, что значительно облегчит процесс построения версий. Графики PERT широко применяются при таком широко распространенном методе анализа, как изучение реальных дел с целью поиска аналогий. Такой метод позволяет определить возможные сценарии, по которым события реально развивались в предшествующий период. Основная идея этого метода состоит в том, что все события рано или поздно повторяются в силу схожести целей, средств и обстоятельств. Разбор и анализ ситуаций, имевших место в прошлом, позволяет на раннем этапе выявить подлинный характер происходящего за счет совпадения с типичными схемами.

В настоящее время в работе ИАС широко используются возможности современной вычислительной техники. Это относится не только к созданию баз данных по тематике аналитической работы, но и непосредственно к процессу анализа. Статистический анализ в подавляющем большинстве случаев не выполняется вручную, для этого должны применяться специальные пакеты программ статистической обработки данных, предназначенные для аналитической работы. Такие программы используются зарубежными специалистами при анализе уже достаточно длительное время и с большим успехом.

В последнее время для аналитической работы все чаще применяются так называемые экспертные системы (expert systems), которые, являясь практическим приложением искусственного интеллекта, оказывают огромную помощь при анализе, а в ряде случаев могут даже заменить собой аналитика. Они представляют собой класс компьютерных программ, которые выдают советы, проводят анализ, выполняют классификацию, дают консультации и ставят диагноз. Экспертные системы не только выполняют все эти функции, но и на каждом шаге могут объяснить аналитику причину той или иной рекомендации и последовательность анализа. Широкое использование таких систем в зарубежных странах объясняется тем фактом, что аналитические задачи, как и все задачи, требующие дедуктивных рассуждений, решаются компьютером не хуже, чем человеком, а в ряде случаев – быстрее и надежнее. В отличие от человека-аналитика у экспертных систем нет предубеждений, они не делают поспешных выводов, не поддаются влиянию внешних факторов. Такие системы работают систематизировано, рассматривая все детали, выбирая наилучшую альтернативу из всех возможных. Несомненным преимуществом экспертных систем является и то, что, будучи введены в машину один раз, знания сохраняются навсегда, как бы обширны они ни были.

Теоретически экспертные системы по мере своего развития и расширения проходят три стадии:

1) ассистент – система освобождает человека-аналитика от рутинной и однообразной аналитической работы, позволяя заниматься только самыми важными и ответственными вопросами;

2) коллега – система участвует в решении проблемы на равных с человеком, общение с системой представляет собой постоянный диалог;

3) эксперт – уровень знаний системы во много раз превосходит уровень знаний человека, так как знания системы представляют собой постоянно пополняемую совокупность знаний многих ведущих экспертов в этой области.

Реально в настоящее время применяются экспертные системы первого уровня – облегчающие работу аналитика. Такие системы накапливают знания и опыт наиболее квалифицированных экспертов-аналитиков. С помощью этих знаний пользователь с обычной квалификацией может решать различные аналитические задачи столь же успешно, как и сами эксперты. Это происходит за счет того, что система в своей работе воспроизводит ту же схему рассуждений, что и человек-эксперт при анализе проблемы.

Второй уровень экспертных систем пока не достигнут в силу больших практических трудностей.

Третий уровень экспертных систем пока существует лишь в проекте.

Экспертные системы позволяют копировать и распространять знания, делая уникальный опыт нескольких экспертов-аналитиков доступным широким кругам рядовых специалистов. То есть такие системы имитируют деятельность человека-эксперта. Однако эти системы имеют существенные недостатки – большинство экспертных систем не вполне пригодны для применения конечным пользователем, они рассчитаны в первую очередь на использование теми экспертами, которые создавали их базы знаний. Пользователь экспертной системы не только должен иметь определенные навыки работы с такими системами, но и представлять себе логику ее построения. К недостаткам можно отнести и то, что приведение знаний, полученных от эксперта, к виду, обеспечивающему их эффективную машинную реализацию, все еще остается достаточно сложной задачей. Экспертные системы еще не способны самообучаться, не обладают интуицией и здравым смыслом, которые использует человек-аналитик при отсутствии формальных методов решения или аналогов таких задач.

Эти недостатки планируется устранить в экспертных системах второго поколения (система-коллега). Они смогут не просто повторять ход рассуждений экспертов, а стать полноценными помощниками и советчиками для аналитика. Такие экспертные системы будут проводить анализ нецифровых данных, выдвигать и отбрасывать гипотезы, оценивать достоверность фактов, самостоятельно пополнять свои знания, контролировать их непротиворечивость, делать заключения на основе прецедентов и, может быть, даже порождать решения новых, ранее не рассматривавшихся задач.

Вывод: в распоряжении сотрудников ИАС предприятия находится множество методов ведения аналитической работы, среди которых они могут выбрать наиболее эффективный с их точки зрения метод, либо пользоваться своим собственным, уникальным методом. В работу ИАС предприятий также должны широко внедряться современные компьютерные технологии как в форме современных баз данных и новейших статистических программ, так и в форме практического применения искусственного интеллекта – экспертных систем.

Лекция 4
 Методика построения корпоративной системы обеспечения информационной безопасности
 

 

Учебные вопросы:

1. Разновидности аналитических работ по оценке защищенности.

2. Модель и методика корпоративной системы защиты информации.

3. Формирование организационной политики безопасности.

Вопрос 1. Разновидности аналитических работ по оценке защищенности
 

Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний наверняка задавалось вопросом: «Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации? ». Давайте попробуем найти ответ на этот актуальный вопрос.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов1, Конституции и федеральным законам, руководящим документам Гостехкомиссии России, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI4 и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.

Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

– обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

– выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

– определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;

– разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

– обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

1) " Комплексный анализ информационных систем (ИС) компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков";

2) " Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании";

3) " Организационно-технологический анализ ИС компании";

4) " Экспертиза решений и проектов";

5) " Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации";

6) " Работы, поддерживающие практическую реализацию плана защиты";

7) " Повышение квалификации и переподготовка специалистов".

Давайте кратко рассмотрим каждое из них. Исследование и оценка состояния информационной безопасности ИС и подсистемы информационной безопасности компании предполагают проведение их оценки на соответствие типовым требованиям руководящих документов Гостехкомиссии при Президенте РФ, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя и анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.

Рекомендации могут касаться общих основополагающих вопросов обеспечения безопасности информации (разработка концепции информационной безопасности, разработка корпоративной политики охраны информации на организационно-управленческом, правовом, технологическом и техническом уровнях), применимых на многих компаниих. Также рекомендации могут быть вполне конкретными и относится к деятельности одной единственной компании (план защиты информации, дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности компании).

Организационно-технологический анализ ИС компании в основном предполагает проведение оценки соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности компании в области организационно-технологических норм и анализ документооборота компании категории " конфиденциально" на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации. При этом собственно внутрифирменная концепция информационной безопасности (ИБ) и положение о коммерческой тайне должны соответствовать действующему законодательству, а именно требованиям Конституции РФ, ст. ст. 128 и 139 Гражданского кодекса РФ, Федерального закона " Об информации, информатизации и защите информации", Федерального закона " Об участии в международном информационном обмене", других нормативных актов.

Правильная экспертиза решений и проектов играет важную роль в обеспечении функционирования всей системы информационной безопасности и должна соответствовать требованиям по обеспечению информационной безопасности экспертно-документальным методом. Экспертиза проектов подсистем – требованиям по безопасности экспертно-документальным методом.

Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации, как правило, включают два направления:

✓ анализ документооборота компании категории " конфиденциально" на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям компании по обеспечению конфиденциальности информации;

✓ поставку комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ компании на организационно-управленческом и правовом уровне.



  

© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.