Информационная безопасность. Курс лекций
Шрифт:
Теоретически экспертные системы по мере своего развития и расширения проходят три стадии:
1) ассистент – система освобождает человека-аналитика от рутинной и однообразной аналитической работы, позволяя заниматься только самыми важными и ответственными вопросами;
2) коллега – система участвует в решении проблемы на равных с человеком, общение с системой представляет собой постоянный диалог;
3) эксперт – уровень знаний системы во много раз превосходит уровень знаний человека, так как знания системы представляют собой постоянно пополняемую совокупность знаний многих ведущих экспертов в этой области.
Реально в настоящее время применяются экспертные системы первого уровня – облегчающие работу аналитика. Такие системы накапливают знания и опыт наиболее квалифицированных экспертов-аналитиков. С помощью этих знаний пользователь с обычной квалификацией может решать различные аналитические задачи столь же успешно, как и сами эксперты. Это происходит за счет того, что система в своей работе воспроизводит ту же схему рассуждений, что и человек-эксперт при анализе проблемы.
Второй уровень экспертных систем пока не достигнут в силу больших практических трудностей.
Третий уровень экспертных систем пока существует лишь в проекте.
Экспертные системы позволяют копировать и распространять знания, делая уникальный опыт нескольких экспертов-аналитиков доступным широким кругам рядовых специалистов. То есть такие системы имитируют деятельность человека-эксперта. Однако эти системы имеют существенные недостатки – большинство экспертных систем не вполне пригодны для применения конечным пользователем, они рассчитаны в первую очередь на использование теми экспертами, которые создавали их базы знаний. Пользователь экспертной системы не только должен иметь определенные навыки работы с такими системами, но и представлять себе логику ее построения. К недостаткам можно отнести и то, что приведение знаний, полученных от эксперта, к виду, обеспечивающему их эффективную машинную реализацию, все еще остается достаточно сложной задачей. Экспертные системы еще не способны самообучаться, не обладают интуицией и здравым смыслом, которые использует человек-аналитик при отсутствии формальных методов решения или аналогов таких задач.
Эти недостатки планируется устранить в экспертных системах второго поколения (система-коллега). Они смогут не просто повторять ход рассуждений экспертов, а стать полноценными помощниками и советчиками для аналитика. Такие экспертные системы будут проводить анализ нецифровых данных, выдвигать и отбрасывать гипотезы, оценивать достоверность фактов, самостоятельно пополнять свои знания, контролировать их непротиворечивость, делать заключения на основе прецедентов и, может быть, даже порождать решения новых, ранее не рассматривавшихся задач.
Вывод: в распоряжении сотрудников ИАС предприятия находится множество методов ведения аналитической работы, среди которых они могут выбрать наиболее эффективный с их точки зрения метод, либо пользоваться своим собственным, уникальным методом. В работу ИАС предприятий также должны широко внедряться современные компьютерные технологии как в форме современных баз данных и новейших статистических программ, так и в форме практического применения искусственного интеллекта – экспертных систем.
Лекция 4
Методика построения корпоративной системы обеспечения информационной безопасности
Учебные вопросы:
1. Разновидности аналитических работ по оценке защищенности.
2. Модель и методика корпоративной системы защиты информации.
3. Формирование организационной политики безопасности.
Вопрос 1. Разновидности аналитических работ по оценке защищенности
Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний наверняка задавалось вопросом: «Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации?». Давайте попробуем найти ответ на этот актуальный вопрос.
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов1, Конституции и федеральным законам, руководящим документам Гостехкомиссии России, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI4 и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.
Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании.
Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Во-вторых разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:
– обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
– выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
– определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
– разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
– обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.
Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой концепции безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.
Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.