Научный журнал
Фундаментальные исследования
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,441

ОБЕСПЕЧЕНИЕ УСТОЙЧИВОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ С УЧЁТОМ ЧЕЛОВЕЧЕСКОГО ФАКТОРА

Ченцов С.В. 1 Краснов И.З. 1 Сидарас А.А. 1
1 ФГАОУ ВО «Сибирский федеральный университет»
Настоящая статья посвящена исследованию проблемы учёта человеческого фактора при управлении информационными системами и обеспечении их устойчивости. В статье рассмотрена проблема человеческого фактора, относительно которой проведён анализ причин деструктивного воздействия пользователей на информационную систему, рассмотрено понятие компетентность как совокупность личностных и профессиональных качеств субъекта относительно профильного вида деятельности. Проведено статистическое исследование в рамках изучения психологических особенностей людей на основе дифференциального подхода с целью выявления склонности к конкретному виду деятельности. На основании статистического исследования выведены закономерности для построения математической модели. Дана математическая модель информационной системы, сформулированы правила для расчёта компетентности, дана общая постановка задачи обеспечения устойчивости информационных систем с учётом человеческого фактора.
компьютерная информационная система
инсайдер
человеческий фактор
компетентность
дифференциальный подход
компетентность
устойчивость функционирования
1. InfoWatch. Глобальное исследование утечек конфиденциальной информации в 2016 году [Электронный ресурс]. – Режим доступа: https://www.infowatch.ru/analytics/reports/17479 (дата обращения: 23.03.2017).
2. Александров С.Л. Процессы организаций при выполнении требований ГОСТ Р ИСО 9001 // Методы менеджмента качества. – 2009. – № 1. – С. 34–39.
3. Новиков Д.А. Методология управления. – М.: Либроком, 2011. – 128 с. (Серия «Умное управление»).
4. ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства обеспечения безопасности информационных технологий. – Взамен ГОСТ Р ИСО/МЭК 15408-3-2008; введ. 2014 – 09 – 01. – М.: Федеральное агентство по техническому регулированию и метрологии, 2014. – 100 с.
5. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования; введ. 2008 – 02 – 01. – М.: Федеральное агентство по техническому регулированию и метрологии, 2008. – 26 с.
6. Стандарт CobIT. Управление и аудит информационных технологий. Особенности проведения внешнего аудита ИТ [Электронный ресурс]. – Режим доступа: http://citforum.ru/consulting/standart_cobit/article1.1.2003459.html (дата обращения: 16.10.2017).
7. Новиков Д.А. Кибернетика: Навигатор. История кибернетики, современное состояние, перспективы развития. – М.: ЛЕНАНД, 2016. – 160 с. (Серия «Умное управление»).
8. Кабардов М.К. Дифференциальная психология и дифференциальная психофизиология сегодня // Материалы конференции, посвященной 115-летию со дня рождения Б.М. Теплова. – Москва, 2011. – С. 125–130.
9. Новиков Д.А., Смирнов И.М., Шохина Т.Е. Механизмы управления динамическими активными системами. – М.: ИПУ РАН, 2002. – 124 с.
10. Ильин Е.П. Психология индивидуальных различий. – СПб.: Питер, 2011. – 701 с. (Серия «мастера психологии»).
11. Ильин Е.П. Дифференциальная психология профессиональной деятельности. – СПб.: Питер, 2011. – 432 с. (Серия «мастера психологии»).
12. Краснов И.З. Цыганков Н.С. Алгоритм расчета уровня компетентности относительно требуемой деятельности человека // Научно-технический вестник Поволжья. – 2016. – № 2. – С. 127–132.

Анализ причин деструктивного воздействия пользователей

В современных условиях информатизации общества одним из решающих факторов, определяющих устойчивость функционирования информационной системы, является человеческий фактор. По данным исследования 2016 г., проведенного компанией InfoWatch [1], самым распространенным и опасным видом внутренней угрозы корпоративным информационным системам (далее КИС) является активное влияние человека на управляемую систему. Среди распределения утечек по вектору воздействия на инсайдера приходится 61,8 %. В данной статье под инсайдером подразумевается пользователь КИС, имеющий доступ к системе управления обработкой информации. При таком положении дел технические средства защиты КИС оказываются практически бесполезными. Деструктивные действия инсайдеров негативно сказываются на устойчивом функционировании КИС. Под устойчивым функционированием информационной системы понимается свойство осуществлять требуемые преобразования информации, сохраняя выходные реакции в пределах допусков, установленных спецификацией, при воздействии таких факторов нестабильности, как ошибки исходных данных программ, некорректные действия персонала, отказы и сбои оборудования [2]. В управлении системой остро ощущается необходимость перехода от несистематизированного и подавляющего своим объемом набора лучших практик к комплексу инструментов управления с учетом человеческого фактора [3]. На сегодняшний день крайне редко исследования отражают тот факт, что в современных условиях информатизации общества одним из решающих факторов, определяющих устойчивое функционирование КИС, является высокий уровень профессионализма пользователей, допущенных к информационным ресурсам (далее ИР). Поэтому проблема управления системой с учетом человеческого фактора приобретает актуальность решения задачи снижения деструктивного воздействия на КИС пользователей с низким уровнем профессионализма.

Российские стандарты ГОСТ Р ИСО/МЭК 15408 [4], ГОСТ Р ИСО/МЭК 27001 [5] утверждают, что системы организационных и технических мер защиты будут наиболее эффективны, в рамках построения СУИБ, при максимальном ограничении пользователей к ИР.

Международный стандарт COBIT 5 [6] рекомендует во главу управления бизнес-процессами, основанными на информационных технологиях, ставить людей с высоким уровнем профессионализма, определяемого как компетентность. Предлагая учитывать компетентности персонала, документ не предлагает методики расчёта уровня компетентности.

Человеческий фактор. Алгоритм управления

Развитие методологии управления позволило сформулировать структуру управленческой деятельности и выделить компоненты теории управления, учитывающие деятельность человека [7]. В данном случае учет человеческого фактора выразится в его активном влиянии на процесс управления, являясь положительной обратной связью при принятии управленческого решения, основанного на анализе психологических свойств человека. Это заостряет взгляд на проблему, которая усугубляется отсутствием системы идентификации пользователей информационной системы с учетом индивидуальных психологических свойств каждого. «Важной задачей является оптимальное распределение функций между человеком и машиной со всеми присущими ему свойствами и собственными целями» [8].

Такая постановка вопроса является основой в решении актуальной задачи обеспечения устойчивого функционирования КИС с учетом человеческого фактора. В соответствии с теорией ограниченной рациональности в принятии решений, невозможность или целесообразность нахождения оптимального решения может быть обусловлена факторами ограниченности когнитивных возможностей управленца (он не может в требуемое время проанализировать все возможные альтернативы и вынужден остановиться на первой найденной альтернативе, которая приводит к устраивающему его значению критерия эффективности) [9].

В системе может быть много компонентов накопления и обработки разнородной информации (формирование баз данных пользователей, статистическая обработка количественной информации, оптимизация принятия решения), в результате с помощью СППР формируется набор допустимых решений. Важнейшими компонентами СППР являются методы и алгоритмы обработки априорной информации при решении задачи адаптации персонала КИС в соответствии с психологическими свойствами каждого относительно требований и условий предстоящей деятельности.

Влияние человеческого фактора на устойчивость КИС определяется уровнем профессионализма человека и напрямую зависит от индивидуальных психологических свойств, уровня образования и навыков в работе каждого. Также следует отметить, что на данный момент не существует руководств и методик по управлению деятельностью пользователей с учётом их личностных качеств, знаний, умений и навыков, определяемых как компетентность. Наиболее предпочтительным является динамическое управление деятельностью пользователей, суть которого заключается в отслеживании и прогнозировании деятельности пользователей с учетом индивидуальных психологических свойств и образовательного уровня относительно требуемого вида деятельности с целью контроля перехода пользователя КИС в категорию инсайдера.

Статистическое исследование

Выбор управления с учетом расчетного уровня компетентности стал возможен после проведения анализа результатов статистического исследования в рамках изучения психологических особенностей людей на основе дифференциального подхода, целью которого является выявление склонности к конкретному виду деятельности [10, 11].

При проведении статистического исследования анализировалась степень соответствия между деятельностью и индивидуальными психологическими свойствами пользователей и были получены выборки по видам деятельности при обработке результатов тестирования.

Введём обозначения. Вид профессиональной деятельности D = {d1, d2, d3, d4}, d1 – коммуникативный вид деятельности, d2 – командный вид деятельности, d3 – регламентный вид деятельности, d4 – творческий вид деятельности, di = [0, 1], chen01.wmf. Предрасположенность к виду деятельности P = {p1, p2, p3, p4}, p1 – предрасположенность к коммуникативному виду деятельности, p2 – предрасположенность к командному виду деятельности, p3 – предрасположенность к регламентному виду деятельности, p4 – предрасположенность к творческому виду деятельности, pi = [0, 1], chen02.wmf.

chenc1.tif

Результаты анализа относительно d1

Объём выборки 4400 (для P1 и P4). Элементы выборки xi∈X – значения от 0,0 до 1,0 с интервалом 0,1, обозначающие степень соответствия pi требуемому di, где 0,5 – максимальное соответствие, 0 и 1 соответственно минимальные соответствия di к pi. Частоты встречаемости элементов выборки ni сопоставлены в соответствии с xi.

Для выборок относительно d2, d3, d4 проведены аналогичные исследования. В итоге для всех четырех типов D были получены графики распределения. По данному графику, на рисунке, видна следующая динамика – даже при максимальном соответствии pi к dj (x6 = 0,5) число успешных обращений различается (наибольшее у pi = di, минимальное у pi = d1+((i+1) mod 4). При проверке закона распределения числа успешных обращений по критерию согласия Пирсона при pi = di закон подчиняется нормальному, для остальных – нет. В результате статистического исследования выявлено, что требуемому виду деятельности в КИС соответствуют конкретные индивидуальные психологические свойства пользователей.

Математическая модель КИС. Постановка задачи исследования

Для постановки задачи устойчивого функционирования КИС с учётом человеческого фактора необходимо произвести её описание. КИС можно представить множеством критичных информационных ресурсов (объектов), посредством которых множество пользователей (субъектов) может произвести деструктивное воздействие на КИС.

Введём дополнительные обозначения. Объекты КИС O = {o1,o2,…,on}. Субъекты КИС S = {s1,s2,…,sm}. Степень критичности информационного ресурса C = {с1, c2, c3}, c1 – конфиденциальная информация, c2 – информация для служебного пользования, c3 – общедоступная информация. Образовательная характеристика Q = {q1, q2, q3, q4}, q1 – образование и опыт в профессиональном виде деятельности, q2 – образование в профессиональном виде деятельности, q3 – опыт в профессиональном виде деятельности, q4 – отсутствие образования и опыта в профессиональном виде деятельности, qi = [0, 1], chen03.wmf. Право доступа к информационному ресурсу R = {r1, r2, r3, r4}, r1 – право доступа на чтение, запись и удаление, r2 – право доступа на чтение, запись, r3 – право доступа на чтение, r4 – Право доступа к ресурсу отсутствует, ri = [0, 1], chen04.wmf Матрица доступа субъект-объектных отношений M[s, o] = r. Расчётный уровень компетентности для субъекта s, относительно вида деятельности d Km[s, d], Km[s, d] = [0, 1]. Вес для степени критичности ресурса V[c], V[c] = [0, 1].

Каждый ИР (объект o∈{O}) соотносится с одним из видов профессиональной деятельности d∈{D} и имеет свою степень критичности c∈{C}. В свою очередь каждый (субъект s∈{S}) обладает предрасположенностью к требуемому виду деятельности p∈{P} и имеет собственную образовательную характеристику q∈{Q}.

Доступ к объектам КИС регламентируется правами доступа r∈{R} в матрице доступа (MД), проиндексированной множеством критичных информационных ресурсов (объектами {O}) и множеством пользователей (субъектами {S}) КИС. Субъект s∈{S} по отношению к виду профессиональной деятельности d∈{D} обладает расчётным уровнем компетентности Km[s, d] и, в соответствии с ним относительно степени критичности ресурса c∈{C}, ему присваивается право доступа r = M[s, o].

На основании закономерностей, описывающих приоритеты элементов pi и pj друг перед другом относительно dk [12] уже возможно составить правила для определения компетентности.

Правило 1: Km [s, d] считается максимальным, если

(pi∈{P}) = (di∈{D}) и q∈{Q} = q1; i = chen06.wmf. (1)

Правило 2: Km [s, d] считается минимальным, если

(pi∈{P}) = (d1+ ((i+1) mod n)∈{D}) и q∈{Q} = q4; i = chen07.wmf. (2)

Правило 3: Остальные значения Km [s, d] подчиняются правилу:

Правило 2 не выполняется и (pi∈{P}) ≠ (di∈{D}) и q∈{Q} = qi; i = chen08.wmf. (3)

Правило 1 говорит о том, что при совпадении предрасположенности pi и di, а также при наличии максимальной образовательной характеристики Km [s, d] максимально. Правило 2 говорит о том, что при полном несовпадении предрасположенности pi и dj, а также при наличии минимальной образовательной характеристики Km [s, d] минимально. Во всех остальных случаях значение Km [s, d] принимает промежуточное значение, которое необходимо рассчитать.

Воздействие, которое управляющее лицо будет выполнять для повышения устойчивости КИС, будет заключаться в том, чтобы повысить уровень компетентности субъекта, назначенного на объект. Этого можно добиться несколькими способами. Во-первых, можно увеличить образовательную характеристику субъекта, иначе говоря повысить ему квалификацию с точки зрения его знаний, умений и навыков. Во-вторых, можно произвести глубокий реинжиниринг персонала, произведя переназначение субъектов к объектам. Второй вариант позволит при меньших затратах (расход на дополнительное обучение, повышенная стимуляция) добиться сравнимых либо больших результатов с точки зрения устойчивости КИС. Создание технологии, учитывающей психологические свойства пользователя, уровень образования и опыт работы, сгруппированные по расчетным уровням компетентностей, может значительно улучшить устойчивость функционирования КИС за счет предоставления санкционированного доступа к соответствующему ИР.

В результате выбора второго варианта необходимо добиться распределения доступа субъектов к информационным ресурсам с соблюдением правила, чем выше уровень Km [s, d], тем больше прав доступа к ресурсу у пользователя.

Таким образом, для обеспечения устойчивого функционирования КИС необходимо множеству информационных ресурсов {O} сопоставить субъектов {S} с максимальным расчетным уровнем компетентности Km [s, d].

На основании вышеизложенных утверждений и установленных правил (1), (2), (3) общая постановка задачи исследования выглядит следующим образом:

∀si, oj : M[s, o], max Km [s, d] si,∈{S}, d∈{D}, o∈{O}. (4)

Заключение

Разработка системы разграничения доступа пользователей к корпоративным ресурсам на основании матрицы доступа в соответствии с расчетным уровнем компетентности пользователя является актуальной задачей повышения функционирования информационной системы с учетом человеческого фактора как основного ресурса производства. Поэтому становится очевидной актуальность данной темы исследования в области обеспечения устойчивого функционирования корпоративной информационной системы с учетом человеческого фактора.


Библиографическая ссылка

Ченцов С.В., Краснов И.З., Сидарас А.А. ОБЕСПЕЧЕНИЕ УСТОЙЧИВОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ С УЧЁТОМ ЧЕЛОВЕЧЕСКОГО ФАКТОРА // Фундаментальные исследования. – 2017. – № 11-1. – С. 140-144;
URL: http://www.fundamental-research.ru/ru/article/view?id=41913 (дата обращения: 11.04.2021).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1.074