УДК 004

Роль участия человека в вопросах защиты информации

Казилин Павел Алексеевич – магистрант Московского института электронной техники

Щербаков Виталий Алексеевич – доктор технических наук, профессор Московского института электронной техники

Аннотация: В современном мире информация имеет важное значение, поэтому необходимо обеспечивать сохранность и безопасность информации, независимо от формы ее представления и передачи. Человек является важным звеном вопросом в вопросах защиты информации, однако при этом он же и является главной угрозой безопасности информации, несмотря на наличие средств защиты информации. В статье автор рассмотрел роль участия человека на всех этапах защиты информации и определил возможности по снижению влияния человека на данные процессы.

Ключевые слова: информация, информационная безопасность, защита информации, роль человека, автоматизация защиты информации.

В современном мире одним из ценных ресурсов является информация. Информация может быть, как общедоступной, так и конфиденциального характера. При этом независимо от того, какая это информация ее необходимо защищать.

Способы защиты информации зависят от формы ее представления и передачи. Средства защиты информации, передаваемой по акустическому каналу и передаваемой по электромагнитному каналу, будут существенно отличаться. Однако у всех средств защиты информации есть общее – на любой стадии жизненного цикла человек принимает непосредственное участие. Человек разрабатывает средство защиты, устанавливает и настраивает, использует и обслуживает, уничтожает и удаляет. То есть на любом из этапов защиты информации человек играет существенную роль.

Такое большое участие человека в вопросах защиты информации делает его главным элементом в защите информации. Потому что если рассмотреть человека как злоумышленника на любом из этапов, то можно выявить большую угрозу для безопасности информации. Например, во время разработки средства защиты может быть установлено закладное устройство или бэкдор, если средство является программным. Такая возможность человека, не относящегося к информации, иметь доступ к этой информации ставит под сомнения уровень защищенности самой системы и информации, в частности.  Однако, в таком случае можно обеспечить большую защищенность, проводя проверку средства защиты информации на наличии закладного устройства или бэкдора. При разработке программного средства защиты информации вместо намеренного бэкдора могут быть допущены случайные ошибки, которые также могут позволить совершить несанкционированный доступ к информации. В таком случае необходимо выполнять проверку на наличие ошибок при разработке. К сожалению, данный процесс можно частично автоматизировать, но полностью избавиться от человека не получится. Если в вопросах создания средства человека можно заменить лишь частично, то в вопросах проверки уже доля уже больше. На текущий момент разработаны средства, позволяющие находить закладные устройства или бэкдоры, а также существуют анализаторы кода, позволяющие находить ошибки в программном обеспечении. Однако очевидно, что квалифицированный специалист в данном случае выполнит данную задачу лучше, чем любая автоматизация.

Следующим шагом является установка и настройка средства защиты. В случае установки исключить человека не получится, а вот в случае настройки, если средство позволяет, можно настроить жесткую конфигурацию системы, и тогда влияние человека на данный шаг будет минимальным. Но такие случаи минимальны, так как аппаратным средствам требуется ручная настройка, так как оно зависит от большого количества внешних факторов, программное средство также зависит от системы. В таком случае можно сделать унифицированное средство, работающее в жестко определенных рамках и условиях, что в реалиях невозможно, так как существует большое количество разных систем, отличающихся друг от друга. Получается и в вопросе установки и настройки средств защиты информации не получится полностью автоматизировать процесс, исключая из него человеческий фактор.

Рассматривая этап использования и обслуживания, становится очевидно, что человек выполняет основную функцию. В вопросе обслуживания человека невозможно заменить, так как обслуживание носит индивидуальный характер и унифицировать, и автоматизировать его не получится. А вот при использовании можно исключить влияние человека – например, единожды настроив средство заблокировать возможность изменения каких-либо настроек. Таким образом, на этапе использования человек будет только включать средство, при том, что и на этом шаге можно исключить человека, сделать автоматическое включение средств при наличии какого-либо условия – наличие человека в помещении или включения автоматизированной системы. Контролировать человека в таком случае не нужно, средство защиты будет работать в автономном режиме без влияния человека. При том, это касается любых средств защиты информации, аппаратных в том числе.

На этапе уничтожения информации человек выполняет основную функцию. В случае уничтожения самой информации или носителя информации человека невозможно исключить. Например, при удалении информации со съёмного носителя или уничтожение самого носителя могут быть выполнены неправильные действия, в результате которых останется остаточная информация или вовсе информация останется в исходном виде. При этом человек может также просто не выполнить действия по уничтожению информации или носителя, например, просто оставив бумажную копию какого-либо документа и не пропустив его через шредер. Отследить момент физического извлечения съемного носителя, как usb-накопитель или dwd-диск, невозможно, из-за чего и невозможно удалить информацию без участия человека. Также система не может самостоятельно отследить момент, когда информацию необходимо уничтожить. Единственное, что можно выполнить в таком случае – настроить системы удаления или уничтожения на корректную работу и закрыть возможность изменения настроек. Например, установив и правильно настроив программу по удалению информации с жестких дисков без оставления остаточной информации. То есть в таком случае человек только запускает сам процесс, который дальше выполняется без его участия. При этом в таком случае все равно необходимо контролировать, что этот процесс был запущен.

Современные автоматизированные системы представляют собой сложную систему, которая может насчитывать большое число элементов управления. Каждый из элементов управления базируется на системном и прикладном программном обеспечении (ПО). Каждое ПО может содержать в себе уязвимости, допущенные программистами при его разработке, которые могут быть использованы злоумышленниками для достижения своих целей: известность, нанесение ущерба, получение прибыли или отстаивания взглядов. Совокупность уязвимостей и злоумышленников порождают угрозы, которые необходимо преждевременно выявлять и ликвидировать путем принятия организационных и технических мер защиты. Но прежде, чем принимать меры, необходимо установить факт наличия уязвимостей. С этой целью целесообразно проводить аудит информационной безопасности.

Аудит информационной безопасности представляет собой систематическую и независимую проверку. Аудит гарантирует, что надлежащие меры безопасности, политики и процедуры действуют и работают эффективно. Целью проведения аудита является проверка соответствия выбранных организационных и технологических решений по обеспечению информационной безопасности определенным в политике безопасности автоматизированных систем требованиям и ограничениям.

Таким образом, аудит информационной безопасности представляет колоссальную актуальность для современных предприятий, использующих средства информационных технологий и цифровые формы активов. Так, на рис. 1 представлены ключевые задачи, решаемые в рамках проведения аудита информационной безопасности каждой отдельной организации.

image001

Рисунок 1. Основные задачи проведения аудита информационной безопасности.

При этом процесс аудита информационной безопасности включает в себя четыре основных задачи, последовательность которых представлена на рис. 2.

 image002

Рисунок 2. Состав и последовательность проведения аудита.

В процессе проведения аудита основное внимание обычно уделяется следующим основным вопросам:

  • определение и обоснование границ проводимого аудита;
  • выбор методики оценки системы управления информационной безопасностью;
  • оценка степени соответствия существующего режима информационной безопасности требованиям организации и используемым стандартам, нормативам и регламентам;
  • формулировка развернутой системы выводов и рекомендаций по совершенствованию системы управления информационной безопасностью.

Аудит системы управления информационной безопасностью осуществляется в три этапа:

  • проведение комплексного обследования системы;
  • проведение анализа существующих рисков;
  • разработка рекомендаций по совершенствованию системы защиты информационных ресурсов и плана их практического внедрения.

Комплексное обследование проводится с целью сбора информации о существующем положении дел по обеспечению информационной безопасности для всех ключевых составляющих автоматизированной системы заказчика. Информация, получаемая при проведении обследования, позволяет выявить возможные слабые места в системе информационной безопасности, определить адекватность и эффективность используемых организационно-технических мер, применяемых для защиты ресурсов в автоматизированной системе.

image003

Рисунок 3. Направления проведения комплексного аудита.

На данном этапе уточняются цели и задачи аудита, а также состав рабочей группы, в которую должны входить сотрудники заказчика, которые обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов. Представители от исполнителя в рабочей группе отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.

Основными задачами, решаемыми при проведении комплексного обследования, являются следующие:

  • сбор и анализ документированной информации;
  • анализ и изучение существующей организационно- штатной структуры заказчика, а также структуры и порядка функционирования автоматизированной системы;
  • интервьюирование персонала;
  • анализ конфигурации типовых рабочих мест, ключевых устройств и серверов.

Получается, рассматривая роль человека в вопросах защиты информации, можно сделать вывод, что влияние человека на защиту информации велико. Лишь только один этап защиты информации можно полностью автоматизировать и исключить влияние человека на него – непосредственно использование средств защиты информации. Однако человек оказывает решающий фактор во всех остальных случаях – разработка, настройка, обслуживание, удаление и уничтожение средств защиты информации. В этих случаях можно лишь частично снизить влияние человека. Таким образом, антропогенный фактор в вопросах информационной безопасности и защите информации является критическим и требует внимания, так как человек, будучи слабым местом в системе защиты информации, имеет огромное влияние на процесс. Если антропогенный фактор оставить без контроля, то бессмысленно говорить о защите информации и использовании средств защиты.

Список литературы

  1. «Автоматизация документооборота на предприятии.» ".[Электронный ресурс]: https://www.cleverence.ru/articles/bukhgalteriya/avtomatizatsiya-dokumentooborota-na-predpriyatii-avtomatizirovannye-sistemy-upravleniya-dokumentami-/.
  2. «Виды систем делопроизводства» // [Электронный ресурс]: https://wiseadvice-it.ru/o-kompanii/blog/articles/vidy-sistem-deloproizvodstva/.
  3. «Автоматизация электронного документооборота» // [Электронный ресурс]: https://astral.ru/info/elektronnyy-dokumentooborot/avtomatizatsiya-deloproizvodstva-i-dokumentooborota/.
  4. «Автоматизация делопроизводства и документооборота на предприятии» // [Электронный ресурс]: https://www.directum.ru/blog-post/avtomatizacija_deloproizvodstva_i_dokumentooborota_na_predprijatii_osobennosti_nacionalnogo_deloproizvodstva.

Интересная статья? Поделись ей с другими: