Схемы потоков информации позволяют оценить то, каким образом происходят события. С их помощью можно анализировать пути движения информации среди субъектов анализа, т. е. оценивать положение каждого субъекта в общей группе и выявлять неустановленные связи между субъектами, используя определенную, специально подготовленную информацию как индикатор. Метод применим для отображения, например, физических процессов, взаимодействия юридических и физических лиц.
Временные графики используются для регистрации событий. Такая форма представления данных помогает не только эффективнее анализировать события, но и более рационально планировать меры противодействия.
Графики анализа визуальных наблюдений VIA являются составной частью графиков оценки результатов PERT. Оба графика составляются по принципу разбивки сложной операции на составные элементы. Такой принцип позволяет наглядно отражать ход событий. В зарубежных странах графики VIA и PERT применяются для анализа тяжких преступлений и террористической деятельности, для повышения эффективности работы предприятий, а также аналитиками служб безопасности для нужд ИАС фирм. В обоих графиках принята одна и та же система символов: события представлены треугольниками и кругами, причем треугольники отмечают начало и конец события, а также наиболее важные моменты операции. Отличием этих типов графиков является то, что график VIA представляет собой схему визуальных наблюдений в процессе одиночного события, а график PERT отражает общий ход событий, является более общим методом анализа. Графики VIA и PERT могут иметь различную степень детализации событий. С их помощью легко вычленить определенную схему в действиях субъектов, что значительно облегчит процесс построения версий. Графики PERT широко применяются при таком широко распространенном методе анализа, как изучение реальных дел с целью поиска аналогий. Такой метод позволяет определить возможные сценарии, по которым события реально развивались в предшествующий период. Основная идея этого метода состоит в том, что все события рано или поздно повторяются в силу схожести целей, средств и обстоятельств. Разбор и анализ ситуаций, имевших место в прошлом, позволяет на раннем этапе выявить подлинный характер происходящего за счет совпадения с типичными схемами.
В настоящее время в работе ИАС широко используются возможности современной вычислительной техники. Это относится не только к созданию баз данных по тематике аналитической работы, но и непосредственно к процессу анализа. Статистический анализ в подавляющем большинстве случаев не выполняется вручную, для этого должны применяться специальные пакеты программ статистической обработки данных, предназначенные для аналитической работы. Такие программы используются зарубежными специалистами при анализе уже достаточно длительное время и с большим успехом.
В последнее время для аналитической работы все чаще применяются так называемые экспертные системы (expert systems), которые, являясь практическим приложением искусственного интеллекта, оказывают огромную помощь при анализе, а в ряде случаев могут даже заменить собой аналитика. Они представляют собой класс компьютерных программ, которые выдают советы, проводят анализ, выполняют классификацию, дают консультации и ставят диагноз. Экспертные системы не только выполняют все эти функции, но и на каждом шаге могут объяснить аналитику причину той или иной рекомендации и последовательность анализа. Широкое использование таких систем в зарубежных странах объясняется тем фактом, что аналитические задачи, как и все задачи, требующие дедуктивных рассуждений, решаются компьютером не хуже, чем человеком, а в ряде случаев – быстрее и надежнее. В отличие от человека-аналитика у экспертных систем нет предубеждений, они не делают поспешных выводов, не поддаются влиянию внешних факторов. Такие системы работают систематизировано, рассматривая все детали, выбирая наилучшую альтернативу из всех возможных. Несомненным преимуществом экспертных систем является и то, что, будучи введены в машину один раз, знания сохраняются навсегда, как бы обширны они ни были.
Теоретически экспертные системы по мере своего развития и расширения проходят три стадии:
1) ассистент – система освобождает человека-аналитика от рутинной и однообразной аналитической работы, позволяя заниматься только самыми важными и ответственными вопросами;
2) коллега – система участвует в решении проблемы на равных с человеком, общение с системой представляет собой постоянный диалог;
3) эксперт – уровень знаний системы во много раз превосходит уровень знаний человека, так как знания системы представляют собой постоянно пополняемую совокупность знаний многих ведущих экспертов в этой области.
Реально в настоящее время применяются экспертные системы первого уровня – облегчающие работу аналитика. Такие системы накапливают знания и опыт наиболее квалифицированных экспертов-аналитиков. С помощью этих знаний пользователь с обычной квалификацией может решать различные аналитические задачи столь же успешно, как и сами эксперты. Это происходит за счет того, что система в своей работе воспроизводит ту же схему рассуждений, что и человек-эксперт при анализе проблемы.
Второй уровень экспертных систем пока не достигнут в силу больших практических трудностей.
Третий уровень экспертных систем пока существует лишь в проекте.
Экспертные системы позволяют копировать и распространять знания, делая уникальный опыт нескольких экспертов-аналитиков доступным широким кругам рядовых специалистов. То есть такие системы имитируют деятельность человека-эксперта. Однако эти системы имеют существенные недостатки – большинство экспертных систем не вполне пригодны для применения конечным пользователем, они рассчитаны в первую очередь на использование теми экспертами, которые создавали их базы знаний. Пользователь экспертной системы не только должен иметь определенные навыки работы с такими системами, но и представлять себе логику ее построения. К недостаткам можно отнести и то, что приведение знаний, полученных от эксперта, к виду, обеспечивающему их эффективную машинную реализацию, все еще остается достаточно сложной задачей. Экспертные системы еще не способны самообучаться, не обладают интуицией и здравым смыслом, которые использует человек-аналитик при отсутствии формальных методов решения или аналогов таких задач.
Эти недостатки планируется устранить в экспертных системах второго поколения (система-коллега). Они смогут не просто повторять ход рассуждений экспертов, а стать полноценными помощниками и советчиками для аналитика. Такие экспертные системы будут проводить анализ нецифровых данных, выдвигать и отбрасывать гипотезы, оценивать достоверность фактов, самостоятельно пополнять свои знания, контролировать их непротиворечивость, делать заключения на основе прецедентов и, может быть, даже порождать решения новых, ранее не рассматривавшихся задач.
Вывод: в распоряжении сотрудников ИАС предприятия находится множество методов ведения аналитической работы, среди которых они могут выбрать наиболее эффективный с их точки зрения метод, либо пользоваться своим собственным, уникальным методом. В работу ИАС предприятий также должны широко внедряться современные компьютерные технологии как в форме современных баз данных и новейших статистических программ, так и в форме практического применения искусственного интеллекта – экспертных систем.
Лекция 4
Методика построения корпоративной системы обеспечения информационной безопасности
Учебные вопросы:
1. Разновидности аналитических работ по оценке защищенности.
2. Модель и методика корпоративной системы защиты информации.
3. Формирование организационной политики безопасности.
Вопрос 1. Разновидности аналитических работ по оценке защищенности
Большинство директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний наверняка задавалось вопросом: «Как оценить уровень защищенности информационных активов компании и определить перспективы развития корпоративной системы защиты информации?». Давайте попробуем найти ответ на этот актуальный вопрос.
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об оценке уровня защищенности информационных активов компании обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов1, Конституции и федеральным законам, руководящим документам Гостехкомиссии России, приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, 9001, 15408, BSI4 и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации компании.