Оптимізація взаємодії користувачів і обслуговуючого персоналу

Одним з основних напрямків захисту інформації в інформаційних системах від ненавмисних загроз є скорочення числа помилок користувачів і обслуговуючого персоналу, а також мінімізація наслідків цих помилок. Для досягнення цих цілей необхідні:

• наукова організація праці;

• виховання й навчання користувачів і персоналу;

• аналіз і вдосконалювання процесів взаємодії людину із системою.

Наукова організація праці передбачає:

• устаткування робочих місць;

• оптимальний режим праці й відпочинку;

• дружній інтерфейс (зв'язок, діалог) людини із системою і т.д.

Робоче місце користувача або фахівця із числа обслуговуючого персоналу повинне бути обладнане відповідно до рекомендацій ергономіки.

Максимальну продуктивність співробітників протягом робочого дня забезпечується за умов належного освітлення робочого місця, комфортних температури та вологості у приміщенні, зручного розташування табло, індикаторів та елементів керування, приємних розмірів і кольору устаткування, зручного положення фахівця щодо обладнання, використання захисних засобів. Одночасно зводиться до мінімуму стомлюваність працівників й негативний вплив на їх здоров'я несприятливих факторів виробничого процесу.

Одним із центральних питань забезпечення безпеки інформації від усіх класів загроз (у тому числі й від навмисних) є питання виховання й навчання обслуговуючого персоналу, а також користувачів корпоративних інформаційних систем.

В обслуговуючого персоналу й користувачів системи необхідно виховувати такі якості як патріотизм (на рівні держави й на рівні корпорації), відповідальність, акуратність тощо.

Почуття патріотизму виховується в громадянах країни за рахунок цілеспрямованої політики держави й реального стану справ у країні. Успішна політика держави усередині країни й на міжнародній арені сприяє вихованню в громадян патріотизму, гордості за свою батьківщину.

Не менше значення, особливо для недержавних установ, має виховання корпоративного патріотизму. У колективі, де цінується працьовитість, поважне відношення друг до друга, заохочується акуратність, ініціатива й творчість, у працівника практично не буває внутрішніх мотивів нанесення шкоди своїй установі.

Важливим завданням керівництва є також добір і розміщення кадрів з обліком їх ділових і людських якостей.

Поряд з вихованням фахівців велике значення в справі забезпечення безпеки інформації має й навчання працівників.

Далекоглядний керівник не повинен жалувати коштів на навчання персоналу. Навчання може бути організоване на різних рівнях. Насамперед, керівництво повинне всіляко заохочувати прагнення працівників до самостійного навчання. Важливо навчати найбільш здатних, працьовитих працівників у навчальних закладах, можливо й за рахунок установи.

 

Література.

1.Тарас А.Е.. Безопасность бизнесмена и бизнеса, Практическое пособие, ‑Минск, "Сэкай", 1996, ‑ 116с.

2. Василий Мак-Мак, Система безопасности предприятия http://www.bos.dn.ua/view_article.php?id_article=99

Контрольні запитання.

1. Якуроль відігріває персонал підприємства в його діяльності?

2. Які типові найбільш поширені проблеми на підприємствах, що пов’язані зпрорахунками у кадровій роботі?

3. Надайте характеристику морально-психологічному стану на підприємстві на різних етапах його функціонування.

4. Які існують напрямки діяльності щодо убезпечення (охорони) інтелектуальної й кадрової складової інформаційної.

5. Перерахуйте основні принципи оптимальної системи мотивації праці.

6. Які заходи передбачає наукова організація праці?

7. Які заходи передбачає виховання й навчання персоналу?

Тема 12. ОСНОВИ СТВОРЕННЯ КОМПЛЕКСНИХ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ

ЛЕКЦІЇ 14,15.

План

Вступ

1. Характеристика основних принципів побудови системи захисту інформації.

2. Етапи створення комплексної системи захисту інформації (КСЗІ).

3. Комплекс засобів захисту інформації.

4. Вимоги до організаційних заходів.

5. Склад проектної та експлуатаційної документації.

6. Випробування та дослідна експлуатація КСЗІ

Наявність значної кількості різних методів та технологій захисту у певному сенсі ускладнює вибір оптимального варіанту побудови системи захисту. Це обумовлено їх різними характеристиками та умовами застосування, вартісними показниками та ефектом від їх впровадження. Це обумовлює творчий (продуктивний) характер діяльності людини у сфері захисту інформації у автоматизованих системах (АС).

У підсумку наукового дослідження технологій захисту та кращих практичних рішень напрацьована концепція створення комплексної системи захисту інформації (КСЗІ), що є невід’ємною складовою компонентою АС.

Для побудови КСЗІ використовуються методи, технології та заходи нормативно-правового та організаційного забезпечення, технічного, криптографічного та інженерно-технічного захисту інформації, які забезпечують належний рівень захисту інформації протягом дії експертного висновку на КСЗІ або усього життєвого циклу АС.

До складу КСЗІ включаються заходи та засоби, які реалізують механізми захисту інформації від:

ü витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші;

ü несанкціонованого доступу до інформації та несанкціонованих дій (впровадження комп’ютерних вірусів), що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм тощо;

ü спеціального впливу на інформацію, який може здійснюватися шляхом формування різного роду фізичних полів та сигналів з метою порушення цілісності інформації або руйнування системи захисту.

Створення комплексів технічного захисту інформації від витоку технічними каналами є обов’язковим, якщо в АС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.

Комплекси засобів захисту від несанкціонованого доступу створюються в усіх АС, де обробляється інформація, що власністю держави, до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством, а також в АС, де таке рішення прийнято власником інформації.

Впровадження заходів захисту від спеціальних впливів на інформацію приймається власником інформації у кожному випадку окремо.

Побудова КСЗІ в АС передбачає реалізацію певної послідовності робіт, включаючи такі:

ü класифікація за правовим режимом доступу інформації, що оброблятиметься в АС;

ü проведення обстеження об’єкту інформаційної діяльності, аналіз середовищ функціонування АС, у т.ч. інформаційного та технологічного середовищ, середовища користувачів, середовища потенційних порушників;

ü розроблення моделі загроз для інформації з урахуванням конкретних умов експлуатації АС та моделі потенційного порушника, аналіз та оцінка ризиків;

ü розроблення політики безпеки інформації на підставі створених моделей, визначення рівнів захисту інформації за окремими послугами (специфікація функціональних послуг захисту від несанкціонованого доступу), а також у відповідних випадках вимог з захисту інформації від витоку технічними каналами;

ü проектування системи захисту, визначення засобів (механізмів) та заходів захисту, що відповідають встановленим вимогам, їх впровадження в АС;

ü розробка розпорядчих та нормативно-технічних документів;

ü проведення попередньої та дослідної експлуатації КСЗІ, організація державної експертизи стану захищеності інформації в АС згідно з нормативними документами системи технічного захисту інформації.

Підставою для створення КСЗІ в АС є належним чином оформлене технічне завдання (ТЗ) на її розробку. ТЗ є вихідним нормативно-технічним документом для проведення робіт у багатьох галузях діяльності людини, у т.ч. під час реалізації заходів із захисту інформації в АС. Зокрема, воно включає розроблені вимоги щодо захисту інформації, в деяких випадках вимоги із захисту включаються окремим розділом до ТЗ на створення АС.

Роботи зі створення КСЗІ виконуються організацією-власником АС з дотриманням вимог законодавства щодо провадження господарської діяльності у сфері захисту інформації.

Залежно від складу КСЗІ можливо, що для її побудови необхідно виконувати декілька різних видів робіт, які підлягають ліцензуванню в межах господарської діяльності з технічного захисту інформації. У цьому випадку виконавець робіт зі створення повинен мати право на провадження хоча б одного з таких видів робіт. Для виконання інших робіт, на провадження яких він не має ліцензії, залучаються співвиконавці, які мають відповідні ліцензії.