Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция»




НазваниеУчебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция»
страница7/34
Дата публикации21.02.2014
Размер4.11 Mb.
ТипУчебник
zadocs.ru > Информатика > Учебник
1   2   3   4   5   6   7   8   9   10   ...   34
^

1.4. Социально-психологические аспекты защиты информации


Итак, кто же нарушитель?

Нарушитель - лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства.

Наиболее опасная форма нарушителя – злоумышленник. Злоумышленником называют нарушителя, намеренно идущего на нарушение из корыстных побуждений.

Нарушитель является ключевой фигурой в области защиты информации. Поэтому целесообразно заблаговременно построить модель нарушителя Вашей системы, которая отражает его теоретические и практические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определённые ресурсы. Если система защиты надежна стоимость его затрат (в том числе и материальных) будет чрезмерно высока, и он откажется от своего замысла. Проанализировав причины нарушений, можно либо повлиять на сами эти причины, либо точнее определить требования к системе защиты от данного вида нарушений.

Преступления, в том числе и компьютерные, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, ее необходимый элемент, а с другой - он же является причиной и движущей силой нарушения или преступления.

Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения.

При анализе нарушений защиты большое внимание следует уделять не только самому факту, как таковому (то есть объекту нарушения), но и личности нарушителя, то есть субъекту нарушения. Такое внимание поможет разобраться в побудительных мотивах и, может быть, даст возможность избежать в дальнейшем повторения подобных ситуаций. Поэтому начнем рассмотрение вопросов построения концептуальной модели нарушителя с анализа социальной базы компьютерной преступности.

Для специалистов очевидна необходимость использования комплексной системы защиты информации, основным элементом которой является человек. Однако между людьми часто возникают конфликты, которые могут привести к негативным воздействиям на уязвимость информации. Поэтому цель данного вопроса занятия доказать, что социально-психологические конфликты оказывают существенное влияние на безопасность информации и что с помощью конкретных рекомендаций можно воздействовать и даже управлять социально-психологической обстановкой в коллективе, повышая тем самым степень защиты объекта в целом.

Проиллюстрировать влияние конфликтов на безопасность информации можно с |помощью таблиц, показывающих изменения уязвимости информации, за крепленной на носителях, при развертывании различных видов конфликтов (табл. 1, 2). Традиционно уязвимость делится на два вида: утечка и утрата.

Формами проявления уязвимости являются:

  • для утраты: кража (1), уничтожение (2), искажение (3), блокировка доступа (5), потеря (6);

  • для утечки: кража (1), разглашение (4), потеря (6).

Соотношение конфликтов, носителей и форм проявления уязвимости информации приведено в табл. 1.

Таблица 1. Соотношение конфликтов, носителей и форм проявления уязвимости информации

Носители

Внутри- личностный

Меж- личностный

Между личностью и группой

Меж- групповой

Человек

2, 3, 4, 6

2, 3, 4, 5

2, 3, 4, 5

1, 2, 3, 4, 5

Письменные

2, 3, 4. 6

1, 2, 3, 4, 5

1, 2, 3, 4, 5

1, 2, 3, 4, 5

Видовые

2, 3, 4, 6

1, 2, 3, 4, 5

1, 2, 3, 4, 5

1, 2, 3, 4, 5

Излучаемые

3, 4

3, 4, 5

3, 4, 5

1, 2, 3, 4, 5

Опосредованные

4, 6

3, 4

3, 4, 5

1, 3, 4

^ Типы конфликтов

Следует выделить 8 основных типов конфликтов в сфере защиты информации, которые представлены на рис.2.

Ниже следует подробное рассмотрение обозначенных конфликтов.


1. Обусловленные требованиями режима

2. Обусловленные ограниченностью ресурсов

3. Обусловленные несоответствием цели

4. Обусловленные психологическими особенностями


Конфликты

5. Обусловленные несоответствием ожиданий

8. В личной жизни сотрудников



6. Иерархические


7. «Человек –

машина»


Рисунок 2. Основные типы конфликтов в сфере защиты информации

Конфликты, обусловленные требованиями режима.

Необходимость неразглашения информации заставляет сотрудников искать возможность компенсации неудовлетворенных потребностей.

Нахождение в специальных помещениях для ведения секретных работ отрицательно влияет на психофизиологические и профессиональные качества сотрудников (генераторы помех, экранирование, маленькие комнаты, отсутствие окон).

Ограничение свободы негативно переживается сотрудниками (запрет на выезд за границу, публикацию научных работ, выступление на конференциях).

Увеличение времени работы за счет выполнения требований режима приводит к игнорированию последних.

^ Конфликты «человек - система» проявляются в демонстрации себе и окружающим своего превосходства. Ярким примером в этом случае является деятельность хакеров.

Рекомендации:

  • организация требований и правил в форме, удобной для восприятия; выделение тех пунктов, нарушение которых связано с особо тяжкими последствиями, а также отдельное выделение пунктов, чаще нарушаемых; ликвидация дублировании, обоснование правил;

  • стимулирование: материальное, социальное, отрицательное (наказание, применяется ограниченно), с помощью игр (воз награждение за осторожность);

  • воспитательная работа: печатные издания, плакаты, стенные газеты, доклады, аудиовизуальные средства, беседы, коллективное обсуждение вопросов безопасности;

  • обучение, тренинг, деловые игры (моделирование различных ситуаций);

  • мероприятия, направленные на снятие напряжения у сотрудников: организация досуга, создание психологических групп и комнат отдыха.

^ Конфликты, обусловленные ограниченностью ресурсов

Черпание ресурсов из одного ограниченного источника приводит к конфликту и между от делами, и между сотрудниками. Нехватка информации восполняется слухами, что способствует появлению служебных интриг.

Рекомендации:

  • трансфертная оценка товаров и услуг (сравнение затрат службы защиты информации (СЗИ) с рыночными ценами);

  • формирование общей миссии организации: подробное описание истории организации, акцентирование на важной социальной роли организации, подчеркивание «революционных» исследований и разработок, а также обширных инвестиций в область образования и тренинга персонала;

  • установление прямой зависимости заработной платы от выполнения работы;

  • обучение ведению переговоров;

  • четкая информационная политика, корректное ведение дел, соблюдение дистанции в общении с сотрудниками, грамотная мотивация.

Конфликты, обусловленные несоответствием целей сотрудников систем защиты информации (СЗИ) и других работников и отделов

Инструментальный конфликт возникает из-за того, что функции СЗИ носят вспомогательный (обслуживающий) характер и определяются руководителем организации. Конфликт подмены главной цели заключается в том, что целью становится выполнение инструкций, а не прямых обязанностей, в результате чего создаются препятствия для выполнения задания.

Конфликт между целями СЗИ и производственного отдела (или сотрудника). Конфликт между целями руководителя и сот рудника, или двух сотрудников.

Рекомендации:

  • улучшение координации, повышение взаимозависимости;

  • усиление центральной власти, перераспределение ответственности (создание равновесия между отделами);

  • культивирование общих целей и ценностей;

  • делегирование полномочий, более четкое определение задач, подробное обсуждение расхождений во мнениях, организация круглых столов.

Конфликты, обусловленные психологическими особенностями сотрудников СЗИ и отличием их от других работников

Возникновение ролевых конфликтов, таких как: выбор роли (выбор эффективного поведения), замыкание в одной роли (действия по шаблону).

Особенности восприятия влияют на оценку происходящего: по одному сотруднику (не корректно выполняющему свои обязанности) судят о всем отделе (СЗИ); контролирующие функции СЗИ раздражают специалистов (пользователей). Синдром ответственности проявляется в прогнозировании и негативном переживании возможных неблагоприятных последствий той или иной служебной ситуации.

Рекомендации:

  • изменение работы (ритма, интенсивности, специализации, места);

  • налаживание коммуникаций; объяснение поведения сотрудников с точки зрения производственной необходимости, обучение решению проблем с помощью переговоров, учет предложений других отделов по организации и функционированию системы защиты информации, в части их затрагивающей;

  • тренинг (проигрывание возможных критических ситуаций);

  • замена некоторых функций контроля горизонтальным обменом и сравнением.

^ Конфликты, обусловленные несоответствием ожиданий и реальности, конфликты «несбывшихся надежд»

Конфликт начинается тогда, когда человек видит, что не может удовлетворить важные для него потребности, цели: карьера, условия работы, зарплата, значимость, влияние, престиж, гордость, самоуважение, идентификация с группой, безопасность, мечта, самоутверждение, успех, призвание.

Рекомендации:

  • создание определенного порядка приема на работу, информирование претендента о перспективах и ограничениях, накладываемых на него при получении работы; подписание обязательства о неразглашении конфиденциальной информации, да же в случае увольнения;

  • четкое разграничение отделов (ответственности и фронта работ);

  • продвижение сотрудников по служебной лестнице.

^ Конфликты иерархии

Существуют 4 вида конфликтов иерархии.

Конфликт «равный-равный» приводит к возникновению постепенно усиливающейся конкуренции.

Конфликт «высший-низший» проявляется в стремлении усилить власть над подчиненными и противостоять их желанию сохранить и увеличить свою автономию.

Конфликт «высший-средний-низший» происходит, когда низшее звено оказывает сопротивление в выполнении задания, а среднее вы ступает в роли своеобразного буфера.

Конфликт формальной и неформальной структур выливается в борьбу за власть со всеми вытекающими отсюда последствиями.

Рекомендации:

  • изменение властной структуры; установление более «горизонтальных» связей;

  • делегирование ответственности;

  • усиление роли центральной власти при решении таких вопросов, как установление и укрепление разграничении, арбитраж;

  • установление «обезличенной» власти: создание системы правил и процедур в отношении персонала и организационной политики;

  • более четкая координация задач;

  • увеличение взаимозависимости;

  • корректировка численности подразделений (оптимально 11-12 либо 5 сотрудников);

  • улучшение межличностных отношений:

  • обучение сторон способам устранения конфликтов и тренинг; обмен персоналом.

^ Конфликты «человек – машина»

Характеристики технического устройства должны соответствовать возможностям восприятия человека.

Профессиональные и психофизиологические качества оператора должны позволять ему обслуживать техническое устройство.

Рекомендации:

  • установление рационального режима труда и отдыха операторов; организация отдыха операторов в процессе работы;

  • установление переменной нагрузки (на пример, темпа подачи и количества перерабатываемой информации и т.п.) в соответствии с динамикой работоспособности оператора;

  • чередование различных операций или форм деятельности в течение рабочего дня;

  • соблюдение предельно допустимых норм деятельности оператора;

  • рациональное распределение функций между человеком и техническими устройствами;

  • установление нормы соответствия психофизиологических качеств оператора характеру и сложности выполняемых работ путем профессионального отбора, обучения и тренировок операторов.

Конфликты в личной жизни сотрудников

Рекомендации:

  • создание в организации здорового психологического климата, способствующего открытому разрешению всех конфликтов;

  • борьба с равнодушием, как со стороны коллектива, так и со стороны начальства;

  • введение в штат профессионального психолога, создание различных психологических групп;

  • культивирование определенных моральных принципов у коллектива (включая руководителей).

Возможные негативные последствия конфликтов приведены в табл.2.

Таблица 2. Возможные негативные последствия конфликтов


^ Виды конфликтов

Возможные негативные последствия

Требования режима

увольнение, остановка работы, халатное отношение к работе, нарушение режима, стресс, компенсация неудовлетворенных потребностей, необдуманные действия, действия под влиянием эмоций, месть, вредительство

Ограниченность ресурсов

нарушение коммуникаций, остановка работы, инициативное сотрудничество, антагонизм, образование слухов, утаивание информации, шантаж

Несоответствие целей

нарушение коммуникаций, остановка работы, инициативное сотрудничество, антагонизм

Психологические особенности

увольнение, нарушение коммуникаций, антагонизм, месть, остановка работы, стресс, профессиональные отклонения здоровья, потеря связи с реальностью; сотрудники, играющие в «психологические» игры

«Несбывшиеся надежды»

стресс, действия под влиянием эмоций, необдуманные действия, месть, замыкание в себе, невыполнение требований режима, халатное отношение к работе

Иерархические

антагонизм; возникновение ситуаций, способствующих утечке информации; инициативное сотрудничество; нарушение коммуникаций

«Человек – машина»

остановка работы, уничтожение, искажение информации, блокирование доступа к информации, увольнение, месть, стрессовые состояния, возникновение

профессиональных отклонений здоровья у сотрудника,

невыполнение требований режима, халатное отношение к работе, инициативное сотрудничество

В личной жизни

стресс, необдуманные решения. халатность, остановка работы, потеря информации и т.д.


Каковы же причины нарушений защиты АС? Можно выделить три основные причины нарушений:

  • безответственность,

  • самоутверждение,

  • корыстный интерес пользователей (персонала) АС.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных). Иногда ошибки поддержки адекватной защищенной среды могут поощрять такого рода нарушения. Даже лучшая система защиты будет скомпрометирована, если она неграмотно настроена. Наряду с неподготовленностью пользователей к точному соблюдению мер защиты, это обстоятельство может сделать систему уязвимой к этому виду нарушений.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь - против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов АС считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Большинство систем имеет ряд средств противодействия подобным «шалостям». В случае необходимости администратор защиты использует их временно или постоянно. Такой вид нарушения называется зондированием системы.

Нарушение безопасности АС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АС информации. Даже если АС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Тот, кому успешно удалось проникновение - очень квалифицирован и опасен.

Проникновение - опаснейший вид нарушений, правда, он встречается редко, так как требуют необычайного мастерства и упорства.

Как показывает практика, ущерб от каждого вида нарушений обратно пропорционален его частоте: чаще всего встречаются нарушения, вызванные халатностью и безответственностью, обычно ущерб от них незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация имеет важное значение, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб вообще практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь, в конце концов, вводит АС в состояние неразрешимого противоречия; после чего операторы и системные программисты должны тратить много времени для восстановления работоспособности системы. Скандал с вирусом Морриса в сети Internet тоже был результатом зондирования системы, в данном случае ущерб исчислялся миллионами.

Проникновение - наиболее редкий вид нарушений, но и наиболее опасный. Отличительной чертой проникновений обычно является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, только в усиленном варианте, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновений может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, для организации надежной защиты необходимо четко отдавать себе отчет, от каких именно нарушений важнее всего избавиться. Для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая и самая жесткая вместе с постоянным контролем - от проникновений. Целью таких действий должно служить одно - обеспечение работоспособности АС в целом и ее системы защиты в частности.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не вовсе это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Способы предотвращения нарушений вытекают из природы побудительных мотивов - это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.
1   2   3   4   5   6   7   8   9   10   ...   34

Похожие:

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconРабочая программа для студентов фпспо калининградского юридического...
Адвокатура: Рабочая программа для студентов факультета подготовки специалистов на платной основе Калининградского юридического института...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconПрограмма «практика курсантов и слушателей» по специальности 030501....
Практика курсантов и слушателей: рабочая программа по специальности 030501. 65 Юриспруденция Красноярск: Сибирский юридический институт...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconУчебник написан в соответствии с программой подготовки психологов...
Учебник предназначен для преподавателей, аспирантов и студентов факультетов психологии и высших педагогических учебных заведений

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconУчебник написан в соответствии с программой подготовки психологов...
Учебник предназначен для преподавателей, аспирантов и студентов факультетов психологии и высших педагогических учебных заведений

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconУчебник написан в соответствии с программой подготовки психологов...
Учебник предназначен для преподавателей, аспирантов и студентов факультетов психологии и высших педагогических учебных заведений

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconМолодежный «Медиа-форум»
Санкт-Петербургском государственном университете технологии и дизайна пройдет Форум молодежных сми и молодых журналистов Северо-Запада...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconГосударственное образовательное учреждение высшего профессионального...
Отечественная история: рабочая учебная программа для курсантов очного обучения и студентов очной и заочной форм обучения внебюджетного...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconРабочая программа подготовлена
Рабочая учебная программа прохождения практики по профилю специальности для студентов 4 курса Бел юи мвд россии, обучающихся по специальности...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconВыполнение и защита выпускных квалификационных (дипломных) работ...
Методическое пособие предназначено для студентов всех форм обучения по специальности «Юриспруденция». Пособие описывает механизм...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconПрограмма и методические указания для студентов специальности 030501 «Юриспруденция»
...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
zadocs.ru
Главная страница

Разработка сайта — Веб студия Адаманов