Информационное обеспечение решений и информационная безопасность

С середины XX века информация рассматривается в широком смысле как общенаучное понятие. Оно выражает обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами между живой и неживой природой в животном и растительном мире, а также генетическую информацию.

В разных областях знаний определение данного понятия интерпретируется по разному. Например, в кибернетике, математике - это количественная мера, уменьшающая неопределенность. В менеджменте под информацией понимаются сведения об объекте управления, явлениях внешней среды, их параметрах, свойствах и состоянии на конкретный момент времени.

Трудно переоценить роль информации в управлении. Она является предметом управленческого труда, средством обоснования управленческих решений, без которых процесс воздействия управляющей подсистемы на управляемую и их взаимодействия невозможен. В этом смысле информация выступает основополагающей базой процесса управления.

Высокой значимостью информации, используемой для разработки управленческих решений, обусловлены предъявляемые к ней требования: достоверности, полноты, своевременности, краткости, четкости, непротиворечивости и др.

Суждение о том, что "информация - это власть" правомерно хотя бы потому, что владение ею позволяет уменьшить вероятность принятия неверных решений. Такое требование, как полнота информации, определяет различные обстоятельства разработки и типы принимаемых решений: в условиях определенности, риска и неопределенности. А это, в свою очередь, сопряжено с использованием различных подходов, методов разработки решений и их результатами.

Источники сбора информации могут быть самыми разнообразными: от средств массовой информации до проведения специальных исследований самостоятельно либо с обращением в соответствующие фирмы. Затраты на получение информации могут достигать значительных сумм, поэтому объем необходимой информации для решений должен оцениваться предварительно.

Методы сбора информации могут быть неформальными и формальными. К первой группе относятся способы получения информации путем непосредственного общения с подчиненными, коллегами, клиентами, деловыми партнерами. Однако динамичность рыночных ситуаций потребовала ускорения процессов сбора, передачи, обработки информации, создания новых информационных технологий.

Компьютерная революция породила революцию информационную. Академик Моисеев Н. Н. отмечал (кн. "Алгоритмы развития"), что "мы вступаем в XXI век, цивилизация которого будет пронизана электроникой, подобно тому, как организм живого существа пронизан нервными волокнами". Если индустриальная революция дала большинству людей относительно комфортную и обеспеченную жизнь, то информационная - в какой-то мере сглаживает интеллектуальное неравенство, создавая относительно одинаковые информационные возможности для всех. Примером может служить работа с интерактивными энциклопедиями типа "Энкарта" (набрав слово в командной строке меню, можно получить на экране компьютера сведения из различных отраслей знаний) либо подключение к международной системе "Интернет".

Компьютеризация процесса принятия решений - необходимость, обусловленная современными потребностями управленческой деятельности. Решение сложных проблем, требующих многовариантных расчетов, связано с огромными затратами времени на их выполнение вручную. В.А. Абчук в книге "Директорский «хлеб»" отмечает, что на решение задачи прикрепления тридцати предприятий-заказчиков к 2 заводам-изготовителям, производящим соответственно 20 и 10 видов продукции, 1 человеку потребовалось бы десятилетие (при условии, что на 1 вариант решения будет затрачиваться 1 минута). Если число заказчиков увеличить до 50, а количество производимых единиц изделий двумя заводами соответственно до 30 и 20, то на перебор вариантов потребуется 100 млн. лет. [18] Можно, конечно, не согласиться с автором, но тогда надо произвести расчеты.

Внедрение компьютерной техники и кардинальное изменение на этой основе информационно-коммуникационных процессов непосредственно влияют на принятие управленческих решений. Постоянно возрастающий объем информации и относительно низкая производительность труда людей, занятых ее обработкой, вызвали к жизни новые информационные технологии (НИТ). Это целостные технологические системы по принятию управленческих решений, для которых характерны:

- новые технологии коммуникационных сетей ЭВМ (на основе локальных и распределительных);

- новые технологии обработки информации на базе персональных компьютеров и автоматизированных рабочих мест (ПЭВМ и АРМ);

- безбумажная технология, исключающая бумагу как носителя информации;

- технология использования искусственного интеллекта в процессе принятия решений на базе моделируемых систем с различными формами представления ситуации, экспертных систем, знаний и т.п.

Основными компонентами структуры НИТ выступают:

- технические средства - ЭВМ и организационная техника;

- информационно-технологическое и программно-алгоритмическое обеспечение;

- специально создаваемые организационные структуры управления, обеспечивающие эффективное использование всех элементов НИТ.

Практика показывает, что чаще всего решения по сложным проблемам принимаются в условиях диалога компьютера и человека. Одно из достоинств НИТ состоит в возможности коллективного действия (за счет участия в обсуждении разных специалистов) на базе ЭВМ, ПЭВМ, локальных сетей, распределительных сетей ЭВМ, средств передачи данных, АРМ. формой коллективного действия может быть проведение телеконференций и др.

Существует и негативный аспект внедрения современных электронных технологий в управленческую практику, который должен быть известен менеджеру. Широкое применение ЭВМ остро ставит вопрос защиты информации от разрушения, искажения, от несанкционированного использования вопреки воле владельца. Компьютерная преступность (или нарушение норм пользования информацией, заложенной в ЭВМ) в западных промышленно развитых странах достигла внушительных размеров. Ущерб от одного компьютерного преступления колеблется в пределах от 450 тыс. до 1 миллиарда долларов. Ежегодные потери некоторых фирм США от этого вида преступности достигают 5 миллиардов долларов. Официальная статистика свидетельствует о ежегодном росте компьютерной преступности, в связи с чем рост объема потерь исчисляется сотнями процентов.

Такого рода преступления чаще всего совершают служащие самих учреждений - специалисты по информатике. В конце 70-х годов программист ЭВМ с помощью личного компьютера проник через телефонную сеть в компьютерную систему банка, выдал команду перевести определенную сумму на свой счет в Нью-Йорке. Сегодня подобные случаи превратились в систему.

Настоящая война с "искусственным интеллектом" порой приобретает форму хулиганских акций. Так, группа "технопиратов" из Германии сумела проникнуть в компьютерную систему НАСА (США) и манипулировать по своему усмотрению банками данных с конфиденциальной информацией. В результате приказа "технопиратов" один из космических спутников отклонился от своей орбиты.

Еще более серьезная угроза "электронного пиратства" связана с монополией отдельных государств на производство и передачу вычислительной техники с разработанным программным обеспечением. Делом техники является возможность практически безболезненно завладеть секретной информацией и вызвать информационный хаос.

Существует ряд способов проникновения в компьютерные сети. В частности, для нарушения работы автоматизированной системы по каналам связи в качестве помехи запускается так называемый "вирус". Введенный однажды в компьютер - первоначальную жертву, "вирус" распространяется на большую группу и, возможно, на всю сеть. Его воздействие может быть строго выдержано по времени и иметь адресность - конкретную задачу (жертву). Он может быть скрытным и какое-то время не проявлять себя. В настоящее время имеется несколько сот "вирусов", которые классифицируются по группам. Вот некоторые из них.

"Троянский конь" - вводится в систему, бездействуя вначале. Затем в заданное время проявляет себя, разрушая программу обработки, содержание и структуру информации.

"Принудительный карантин" - попадая в сеть, вызывает сбой в работе ЭВМ. Если компьютер находится в сети, то он отключается, образуя брешь и, следовательно, нарушает работу сети в целом.

"Перегрузка" - "вирус", попав в ЭВМ, многократно дублирует себя, вызывая замедление обработки информации, нарушение хода работы.

"Зонд" - "вирус" проникает в конкретный участок информации по заданной программе и искажает ее.

"Убийца" - данный "вирус" вводится для разрушения определенного файла информации и используется в условиях, когда известна структура построения и порядок обработки информации.

С помощью специально созданных программ возможен вывод из строя роботизированных линий производства с компьютерным управлением.

Приведенными фактами, безусловно, не исчерпывается содержание электронных преступлений. В связи с изложенным небезосновательно предостережение, высказанное в свое время специалистом-международным экспертом по вопросам информатики Донном Б. Паркером: "На смену опасности ядерной катастрофы может прийти угроза войны, которая примет новые формы - войны в области информатики, направленной против предприятий и стран, обладающих передовой техникой, с целью создания информационного хаоса и порождения экономической катастрофы".[2] [2]

Государства и фирмы не могут спокойно взирать на подобные угрозы. Они принимают меры по разработке систем защиты информации, требующие существенных интеллектуальных усилий и материальных затрат. В США эти затраты достигают 10% от объема производства вычислительной техники. Расходы на финансирование работ по защите ЭВМ несет как частный сектор, так и государство (в соотношении равном 70% и 30%).

Фирмы не жалеют средств на защиту коммерческой информации, поскольку сегодня в мире по существу уже идет интеллектуальная война в сфере информации, от которой предостерегал эксперт. Кто владеет необходимым объемом современной информации, передовой технологией, тот конкурентоспособен на рынке.

Для противостояния компьютерным преступлениям и шпионажу каждая АСУ должна обладать особым набором требований безопасности в управлении, доступе, организации контроля и исправления ошибок при поиске вирусов. Каждому владельцу и пользователю электронно-вычислительной системы необходима гарантия надежности, безопасности системы и обрабатываемой на ней информации.

Чтобы оценить такую надежность, устанавливаются соответствующие критерии безопасности. Они обычно разрабатываются на правительственном уровне в виде специальных нормативных документов. В США, например, с этой целью издана "Оранжевая книга" для персональных ЭВМ и "Красная книга" -для компьютерных сетей. Подобные издания существуют в Англии - для использования в правительственных учреждениях и коммерческих структурах, а также в Германии и Франции.

В нашей стране развитие информатизации сдерживается отчасти недостатком современных ЭВМ и утечкой интеллектуального потенциала, а также отсутствием компьютерного права.

Проблема электронного шпионажа и необходимость защиты информации от несанкционированного доступа к ней актуальны, тем не менее, и в отечественной экономике.

Какая система считается защищенной? Если все операции в системе управления фирмой выполняются по строго определенным правилам, обеспечивающим непосредственную защиту объектов, ресурсов и операций, ее можно считать защищенной.

Политика безопасности на предприятии характеризуется конфиденциальностью, целостностью, готовностью. Возможными формами угрозы информационной безопасности являются:

• несанкционированный доступ, кража документов;

• перехват информации в каналах связи, ошибки в работе;

• уничтожение информации ( случайное или сознательное);

• разрушение информации "вирусами" (как отмечалось выше);

• ошибки в программах обработки информации;

• отключение электропитания;

• фальсификация сообщений;

• несанкционированная модификация информации. Разнообразным формам угроз информационной безопасности противостоит широкий спектр мер защиты, которые должны неукоснительно выполняться. К ним относятся:

проверка подлинности информации;

контроль доступа в помещение;

разделение полномочий;

шифрование информации;

применение цифровой подписи на документах (сообщениях);

использование биометрических характеристик для контроля;

применение электронных карт;

использование антивирусной защиты;

контроль целостности информации;

наличие службы защиты информации;

резервирование;

регламентирование правил и способов защиты документов;

наличие инструкции для пользователей информации;

защита архивов от разрушения;

минимум привилегий для пользователей информации.

К организации защиты информации предъявляется ряд требований:

- экономичности. Это означает, что затраты на ее создание и содержание должны быть меньше возможного ущерба от утечки информации;

- исключения возможности усложнения процесса управления в связи с ее использованием;

- комплексности, объединение системой защиты законодательных, технических и организационных мер;

- одновременности создания, с органической увязкой системы защиты и системы управления предприятием;

- иерархичности, то есть структурно система защиты должна включать вертикальное (уровни) и горизонтальное (звенья) построение.

Степень защиты информации на предприятии может быть разной. В связи с этим выделяют ее классность, которая содержит характеристики защиты по классам от первого до седьмого (табл. 1).

Класс первый означает наличие развитой службы безопасности.

Класс второй включает полный набор механизмов защиты на нескольких уровнях.

Класс третий - защита при многих субъектах и объектах, допущенных к информации.

Класс четвертый - защита электронных платежей.

Класс пятый - защита распределенных информационных сетей.

Класс шестой - защита локальных информационных сетей.

Класс седьмой - минимальные требования к защищенности.

Существуют требования и к классам защищенности, например, в банковском деле.

Наиболее универсальным способом защиты информации в компьютерных сетях признается шифрование информации, обрабатываемой в ЭВМ и АСУ с открытым ключом. Доступ к информации основывается на использовании специальной функции, обратная функция которой может быть вычислена лишь с помощью секретного ключа. Открытый ключ шифрования доступен всем абонентам, которые хотят сообщить партнеру секретную информацию. Секретный ключ хранится у пользователя информации. Применив открытый ключ конкретного адресата, пользователя информации, можно направить ему шифротелеграмму, которую он расшифрует с помощью индивидуального секретного ключа. Подобная система защиты несколько сокращает скорость передачи сообщений в автоматизированной компьютерной сети, однако достаточно надежна.

Существует и ряд средств безопасности электронных платежей. Наряду с методом "открытого ключа" применяются:

система ключей - включает использование главного ключа, ключей шифрования ключей, сеансовых ключей;

нумерация сообщений - характеризуется тем, что каждое сообщение нумеруется, контролируется последовательность и повторяемость номеров;

единый график связи - контролируется соблюдение графика сообщений, установленного для клиентов;

Таблица 1

Требования к классам защищенности (в банках) Классыl
Управление доступом              
идентификация и опознание + + + + + + +
учет работы пользователей + + + + + + +
регистрация попыток несанкционированных действий + + + + + + +
разграничение доступа к логическим дискам и внешним устройствам + + + + + + +
разграничение доступа к каталогам и файлам         + + +
уничтожение остаточной информации         + + +
сигнализация при попытке нарушения доступа         + + +
регистрация входа/выхода в помещениях           + +
регистрация входа/выхода на объекте           + +
контроль за перемещением на объекте           + +
автоматизированная обработка регистрационных и учетных данных           + +
дистанционное управление системой защиты              
Криптографическая защита              
«прозрачное» шифрование   + + + + + +
шифрование сообщений, передаваемых по каналам связи   + + + + + +
цифровая подпись документов     + + + + +
шифрование выбранных файлов           + +
Обеспечение целостности              
контроль целостности системы защиты, + + + + + + +
применение антивирусных средств + + + + + + +
резервирование наиболее важных компонентов системного и банковского ПО + + + + + + +
контроль целостности программ и данных пользователей   + + + + + +
контроль целостности программ, передаваемых по каналам связи   + + + + + +
помехоустойчивое кодирование архивной информации       + + + +
применение источников бесперебойного питания           + +

Организационные меры              
наличие администратора (службы) безопасности системы + + + + + + +
договорные отношения между пользователем системы и правлением банка + + + + + + +
физическая охрана оборудования + + + + + + +
физическая охрана перемещаемых носителей   + + + + + +
учет носителей информации   + + + + + +
существование третьей стороны для разрешения споров, связанных с цифровой подписью       + + + +
Доверие к системе защиты              
верификация соответствия механизмов защиты             +

идентификация клиента - суть состоит в том, что до начала приема сообщения устанавливается подлинность клиента;

архивирование - параллельно создается архив электронных документов, который в необходимых случаях используется для проведения сравнения.

Заслуживает особого внимания проблема сочетания формального и неформального аспектов в процедуре разработки управленческих решений.

Наши рекомендации