CC BY
108МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ, КОМПЬЮТЕРНЫЕ ТЕХНОЛОГИИ В ТЕОРИИ УПРАВЛЕНИЯ СЛОЖНЫХ ПРОЦЕССОВ
ПРОБЛЕМНЫЕ ВОПРОСЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОЦИАЛЬНО-ЭКОНОМИЧЕСКИХ СИСТЕМ
А.С. Артамонов, кандидат физико-математических наук, профессор; А.Ю. Иванов, доктор технических наук, профессор. Санкт-Петербургский университет ГПС МЧС России
Рассмотрен общий подход к обеспечению информационной безопасности сложных социально-экономических систем. Предложена концептуальная схема создания системы защиты информации для объектов социально-экономической сферы. Представлены основные функциональные черты создаваемой системы.
Ключевые слова: информационная безопасность, социально-экономическая система, информационная система, защита информации
THE PROBLEM ISSUES OF ENSURING OF INFORMATION SAFETY OF SOCIO-ECONOMIC SYSTEMS
A.S. Artamonov; A.Yu. Ivanov.
Saint-Petersburg university of State fire service of EMERCOM of Russia
The article describes the general approach to the ensuring of information security of complicated socio-economic systems. The conceptual scheme of creation of the system of protection of information for the objects of socio-economic area is proposed. The fundamental of functional features of created system are presented.
Keywords: information security, socio-economic system, information system, protection of information
Понятие «социально-экономическая система» может быть рассмотрено в двух аспектах. С одной стороны, социальная система по своему составу всегда представляет собой группу людей, объединенных совместной деятельностью и имеющую общие экономические интересы. С другой стороны, организованная группа людей как экономическая система обеспечивает производство товаров, реализуемых на рынке.
Социально-экономические системы (организации, предприятия, социумы) включают в себя технические системы, а компьютерные технологии позволили создать на их основе довольно объемные в информационном отношении базы данных. Одна из проблем обеспечения информационной безопасности в социально-экономической сфере непосредственно связана не только с исследованием технических систем, но и с учетом человеческого фактора, управлением людьми в конкретных экономических процессах. Любая группа работников предприятия находится в деловой среде, которая оказывает на нее свое воздействие, а само предприятие оказывает воздействие на деловую среду. Составные части
деловой среды определяют условия функционирования информационной системы предприятия и формируют основные требования к подготовке ее пользователей. С течением времени, как правило, изменяется структура социально-экономической системы: она создается человеком, ее эффективность зависит от слабоизученных закономерностей, и контур управления в условиях воздействия активной внешней среды вырабатывает управляющие сигналы для достижения поставленной цели. В виду этого информация должна обладать не только свойством конфиденциальности, но и доступности, под которой понимается способность системы (среды, средств и технологии ее обработки), в которой циркулирует информация, обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации [1, 2].
Ущерб субъектам информационных отношений в результате несанкционированного доступа может быть нанесен только опосредованно, через информацию, содержащуюся на ее носителях (в том числе в автоматизированных системах обработки информации). В качестве объектов, подлежащих защите в интересах обеспечения безопасности субъектов информационных отношений, в общем случае, должны рассматриваться: информация, ее носители, процессы ее обработки.
В конечном счете, уязвимыми являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеет своих интересов, которые можно было бы ущемить и нанести тем самым ущерб). Говоря об обеспечении безопасности информации, в дальнейшем будем понимать обеспечение безопасности субъектов, участвующих в процессах автоматизированного информационного взаимодействия.
Еще одна проблема обеспечения информационной безопасности заключается в рассмотрении специфики экономико-социологического подхода и изучении зависимости экономических и социальных факторов, лежащих в основе функционирования информационной системы. На современном этапе информационные системы стали основным инструментом сбора, хранения и распространения значительных массивов сведений. Информация стала объектом публичных, гражданских и иных правовых отношений. В один ряд с важнейшими задачами государственного значения (например, обеспечения военной и экологической безопасности) встает задача обеспечения информационной безопасности. Связано это с тем, что практически в каждой информационной системе, как правило, циркулируют сведения, которые в соответствии с требованиями Российского законодательства подлежат защите. К важнейшим видам такой информации необходимо отнести следующие:
1. Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства, «ноу-хау»), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании, то есть информация, составляющая коммерческую тайну (Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»).
2. Персональные данные - «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» (Федеральный закон Российской Федеркции от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).
Защита персональных данных является обязанностью физических и юридических лиц, а та часть обрабатываемых сведений, которая касается информации, составляющей коммерческую тайну, подлежит защите в соответствии с правом обладателя такой информации.
При определении понятия информационной безопасности также следует учесть следующее обстоятельство. Исторически сложившийся подход к классификации
государственной информации по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации -ее конфиденциальности. Как правило, требования к обеспечению целостности, подлинности и доступности информации, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Вероятность ее искажения (несанкционированного уничтожения) считается незначительной, а возможность ее проявления - несущественной. Низкий уровень доверия к базам данных основан на сохранившемся предпочтении к бумажной информационной технологии.
В какой-то степени такой подход оправдан, в силу существующей приоритетности свойств безопасности важной государственной информации, но его механический перенос в другую предметную область (с другими субъектами и их интересами) может привести к крупным просчетам. Ущерб от разглашения открытой информации является несущественным при условии, что важнейшими могут быть такие свойства, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности и подлинности. По степени важности, после этого, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требований по обеспечению конфиденциальности к некоторым платежным документам может не предъявляться вообще. Важнейшими причинами существующего в настоящее время подхода к защите информации является отсутствие опыта и соответствующих проработок в плане обеспечения целостности, подлинности и доступности информации, не являющейся конфиденциальной.
Концептуальная схема создания системы защиты информации для объектов социально-экономической сферы деятельности показана на рис. 1. В соответствии с определением социально-экономической системы на рисунке выделены две основные составляющие, необходимые для создания наиболее рациональной системы защиты информации:
- правила поведения субъектов социально-экономической системы в сфере информационных технологий, описываемые целым комплексом моделей;
- инструмент практического использования - комплекс моделей, определяющих процесс создания аппаратно-программных средств различного назначения, которые собственно и формируют информационные технологии.
Остается необходимость в прогнозировании процессов, протекающих в социально-экономических системах, и связана она с тем обстоятельством, что темпы происходящих перемен непрерывно возрастают. В ходе выполнения управленческих функций внешняя среда расширилась, стала более сложной и менее предсказуемой. Не менее важно и то обстоятельство, что по мере ускорения темпов перемен возрастает сложность проблем. Чем труднее эти проблемы, тем больше времени требуется для их разрешения. Чем больше возрастает темп изменений, тем быстрее изменяются проблемы, которые необходимо решить, и тем меньше времени будут верны решения, которые найдены.
Специалисты в области информационных технологий считают крайне необходимым научиться заранее, как можно более точно прогнозировать изменения, готовиться к ним как можно лучше и реагировать на них более оперативно. Решение задач, возникающих вследствие ускорения темпов изменений, состоит в улучшении прогнозирования и приспособления к ним [2].
Многие происходящие изменения не должны были происходить, а многие изменения, которые не происходят, могли бы произойти. Большая часть проблем - это последствия собственной деятельности или бездеятельности человека (часто непреднамеренной). Еще один важный аспект рассматриваемой проблемы заключается в том, что хотя изменения вообще могут быть неизбежными, отдельные перемены таковыми отнюдь не являются.
Повышение требований к живучести и оперативности информационных систем - это современная концепция информационной безопасности. С одной стороны, эти требования
определяют необходимость разработки и накопления эффективных ресурсов защиты от различных видов несанкционированных действий, а с другой стороны, не позволяют неограниченно их использовать при решении системой своих функциональных задач. Данные противоречия можно разрешить путем последовательного наиболее рационального использования ресурсов защиты в соответствии со складывающейся обстановкой.
Рис. 1. Концептуальная схема создания системы защиты информации для объектов
социально-экономической сферы
Система безопасности в этих условиях должна не столько ограничивать допуск пользователей к программам и данным, сколько определять и делегировать им различные полномочия в корпоративном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов. Используя такой тип модели информационной безопасности, создаваемая система должна распознавать пользователей не только по именам их учетных записей и паролям, индивидуальным биометрическим показателям, но и по их поведению (характерным запросам информации, последовательности доступа к данным, трафику, временным нормативам транзакций). Периодически на некоторых этапах работы, связанных с доступом к особо важной информации и критическим функциям системы, возможен контрольный тест, при этом данные теста могут быть сверены с результатами предыдущих тестов и занесены в базу
данных. Одним из вариантов дополнительной проверки может служить скрытная система аутентификации оператора путем контроля параметров его клавиатурного почерка, которая позволяет обнаружить «чужого» оператора, занявшего место штатного оператора, уже после прохождения последним процедуры идентификации/аутентификации в системе. Все накопленные статистические данные дают возможность корректировать модели поведения пользователя.
Необходимо иметь в виду, что для решения данной задачи потребуется своеобразный формализованный социально-психологический портрет личности пользователя, в котором должны быть отражены такие его индивидуальные качества, как интересы и мотивы, склонности и способности, характер и темперамент, идеалы, ценностные ориентации, волевые, эмоциональные и интеллектуальные особенности, профессиональная квалификация, жизненный опыт. Как показывают проведенные исследования, решение этой проблемы в большей степени заключается не в анализе психологического типа человеческой личности, а в изучении конкретных социально-бытовых и культурно-исторических условий, в которых эта личность пытается найти свое место в обществе и бизнесе. Стремление наиболее полно осуществлять комплексный учет разнообразных факторов и, прежде всего, человеческого фактора приводит к тому, что за рубежом все большее развитие получает принцип наиболее рациональной организации информационных, телекоммуникационных, вычислительных и кадровых ресурсов по типу «матрицы». Создание такой системы учета обеспечивает гибкое, безопасное и централизованное распределение ресурсов в интересах так называемых «виртуальных организаций», создаваемых под решение возникающих в процессе управления задач в сложной динамичной обстановке. Управление является необходимой функцией любых организованных систем, обеспечивающей сохранение и воспроизводство своих элементов, а также координацию действий между элементами системы. Достаточно сложной проблемой является создание управляемой в реальном масштабе времени системы информационной безопасности.
В общем случае комплекс технических средств информационной системы включает средства обработки данных (персональные компьютеры, серверы баз данных, почтовые серверы и т.п.), средства обмена данными в локальной вычислительной сети с возможностью выхода в глобальные сети (кабельная или беспроводная система, мосты, шлюзы, модемы и т. д.), а также средства хранения данных.
Типовые организации включают в себя следующие объекты информатизации:
- средства вычислительной техники, сетевое и кабельное оборудование (технологическое оборудование);
- ресурсы (накопители информации), содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической или другой основе, информационных физических полях, массивах и базах данных;
- программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);
- средства телекоммуникации (автоматизированные системы связи и передачи данных);
- каналы связи, по которым передается информация (в том числе ограниченного распространения);
- помещения служебные, в которых циркулирует информация ограниченного распространения;
- специальные технические средства (устройства тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической информации, звукозаписи, звукоусиления, звуковоспроизведения и т.д.;
- технические средства и вспомогательные системы (технические средства и системы, не обрабатывающие информацию), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного распространения.
При проектировании замкнутой системы информационной безопасности, в том числе ее составной части - системы управления, создается единая структура, подчиненная вектору целей [1]. В данном случае качество и оперативность управления системой защиты может быть обеспечены факторами:
- архитектурой структуры, элементы которой характеризуются функциональным назначением (включая каналы информационного обмена) и установленной упорядоченностью (организацией, иерархией) элементов в структуре;
- характеристиками работоспособности, которые определяются заданной глубиной их разработки для достижения поставленных целей (степенью функциональной пригодности элементов, входящих в структуру).
Допущенные ошибки при построении структуры приводят к общему несоответствию вектора целей, а также ошибки в разработке отдельных ее элементов могут резко снизить высокую функциональную пригодность других элементов структуры и соответственно снизить общую эффективность системы безопасности в целом (рис. 2).
В самом простом случае, когда считается достаточным использование встроенных систем защиты, задачи администрирования информационной безопасности распределяются между администраторами на соответствующих уровнях иерархии.
Рис. 2. Концептуальная схема реализации комплексного подхода к защите информации в социально-экономических системах
В более сложном случае, когда используются встроенные и добавочные средства защиты, возникает необходимость решения задачи наиболее рационального распределения функций между администраторами системы и администратором безопасности. В этом случае ее решение основано на создании децентрализованной системы управления системой защиты информации, в которой у администратора безопасности появляются новые функции координации управленческой деятельностью. В тех случаях, когда используется хоть одна из многочисленных систем безопасности, значительно снижается степень риска несанкционированного доступа к информации.
Литература
1. Системный анализ и принятие решений / В.И. Антюхов [и др.]; под ред. В С. Артамонова. СПб.: С.-Петерб. ун-т ГПС МЧС России, 2009. 389 а
2. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. СПб.: БХВ-Петербург, 2003. 752 с.
3. Об информации, информационных технологиях и о защите информации: Федер. закон Рос. Федерации от 27 июля 2006 г. № 149-ФЗ // Рос. газ. 2006. 29 июля.
