Человеческий фактор в обеспечении
информационной безопасности.
Безопасность в сфере информационных технологий - это комплекс мер, и она
должна восприниматься как система. Существует много различного защитного
ПО, каждое из которых выполняет определенные функции и направлено на решение
определенных задач. Однако можно использовать самое лучшее ПО, в котором
применяются самые передовые технологии, криптостойкие алгоритмы, но при этом
нельзя быть уверенным на все 100%, что наша система неуязвима. Потому что в
реализации всех решений и применении их на практике участвуют люди, а людям
свойственно ошибаться. Человек, являясь частью системы, был и остается самым
уязвимым местом в системе безопасности.
Человеческий фактор является причиной
успеха многих атак, и тому есть масса примеров.
Профессиональная деятельность персонала в информационных
системах и сетях, разумеется, регламентирована нормами и правилами выполнения
функциональных задач. Любые нарушения, отклонения от нормативной деятельности
можно трактовать либо как умышленные действия, либо как непреднамеренные,
зачастую случайные ошибки. Это два главных класса угроз безопасности. И те, и
другие могут приводить к непоправимым последствиям. Чем более критичен элемент
информационной инфраструктуры для жизнедеятельности общества и государства, тем
более существенен ущерб, наносимый этими нарушениями. Возможность нарушений
делает профессиональную деятельность персонала одним из самых уязвимых звеньев
в человеко-машинных системах обработки и передачи информации.
Виды умышленных действий персонала весьма разнообразны
и зависят, разумеется, от профессионального статуса человека и занимаемого им
места в должностной иерархии. Тем не менее, можно выделить следующие
основные осознанные действия, предпринимаемые человеком
большей частью из корыстных побуждений:
·
нарушение
технологии, алгоритмов и процедур решения функциональных задач.
Противодействие
умышленным действиям состоит в предотвращении или минимизации причин ошибок.
Распространенный подход к решению этой задачи состоит в оценке лояльности
персонала, что практически означает оценку возможности доверить тому или иному
лицу выполнение ответственных функциональных задач в информационной системе.
Как считают многие специалисты, главной проблемой здесь остается определение
личной предрасположенности или готовности человека к совершению умышленных
неправомерных действий. Это сложная задача, поскольку ни наблюдение за
поведением, ни специальные методы профессиональной психодиагностики, включая
полиграф, методы психологического и психофизиологического отбора не могут дать
стопроцентную гарантию лояльности человека.
Так же существуют непреднамеренные
ошибки эти ошибки совершаются
неумышленно, но, к сожалению, результат ошибочных действий осознается только
после их совершения. Они чаще всего носят случайный характер, хотя иногда их
можно квалифицировать как систематические. Главными причинами, которыми они
вызываются, являются профессиональная некомпетентность, чаще всего как
следствие недостаточного уровня подготовки, халатность или неготовность к
деятельности из-за текущего функционального состояния. Эти ошибки также должны
рассматриваться как факторы риска. Они свойственны, как правило, оперативному и
обслуживающему персоналу. Типичные следствия таких ошибок:
Меры предотвращения угроз безопасности персонала информационных систем,
связанных с непреднамеренными ошибками, должны предусматривать соблюдение
эргономических требований в части допустимой информационной нагрузки,
обеспечения комфортных условий работы и дружественности пользовательского
интерфейса, требований к режиму труда и отдыха.
Для информационных систем критически важных объектов информационной
инфраструктуры необходимо проводить отбор по выделенным профессионально-важным
качествам в такой же степени, в какой производится отбор оперативного персонала
для автоматизированных систем специального назначения.
Меры предотвращения угроз безопасности, связанных с умышленными действиями,
должны предусматривать психологическую диагностику индивидуально-личностных
особенностей и, в первую очередь, свойств личности (мотивов, ценностных
ориентаций, целевой направленности и др.), а также соответствующий психологический
отбор с целью обеспечения необходимого уровня лояльности персонала. Важная роль
принадлежит также обеспечению психологической совместимости в рабочих
коллективах и созданию в организации благоприятного социально-психологического
климата.
Список использованной литературы:
1. Человеческий
фактор в сфере ИБ/ Способ доступа:
URL http://emag.iis.ru/arc/infosoc/emag.nsf/BPA/03a9dfb8b576994dc3256d5700403104
2. Информационно-психологическая безопасность: основные понятия
/ Г.М. Зараковский., Г.Л.
Смолян // Психология и
безопасность организаций: Сб. науч. тр. / Под ред. А.В. Брушлинского и В.Е.
Лепского. – М., 1997.
3. Безопасность и человек/ Способ доступа: URL http://www.bezpeka.com/ru/news/2003/02/06/972.html