Наталия Гришина - Организация комплексной системы защиты информации Страница 10

2. Второй класс описывает процесс оценки субъективной ценности того или иного варианта действия, называемой полезностью. Это важнейший класс утверждений, поскольку полезность последствий альтернатив в значительной степени определяет характер принимаемого решения;

3. К третьему классу принадлежат утверждения, касающиеся субъективной оценки вероятностей обстоятельств, определяющих последствия принятого решения. Так, например, психологи обнаружили, что люди переоценивают вероятности наступления маловероятных событий и одновременно недооценивают вероятности наступления очень правдоподобных событий;

4. Четвертый класс касается стратегий выбора поведения. Они описывают, как лица, принимающие решения, интерпретируют информацию о полезности исходов и их вероятности и то, какие правила выбора альтернатив они при этом используют.

Психологи обнаружили, что в простых задачах, связанных с риском, люди обычно выбирают стратегии, максимизирующие субъективно ожидаемую полезность, которую они представляют как линейную комбинацию субъективной вероятности исходов и их полезности;

5. Пятый класс описывает факторы, управляющие процессом принятия решений. К их числу принадлежат влияние окружающей среды, личностные особенности принимающего решение и влияние социальной группы. Например, чем сильнее у субъекта агрессивность и потребность в доминировании, тем более высокий уровень риска он допускает. Решения, принимаемые коллективно, более рискованны, чем индивидуальные и т. д. Эти зависимости отображены на диаграммах (рис. 14–17).

Рис. 14. Стандартная проблема

Рис. 15. Хорошо структурируемая проблема

Рис. 16. Слабо структурируемая проблема

Рис. 17. структурируемая проблема

В психологических исследованиях процессов принятия решений используются три метода.

Первый метод — лабораторный эксперимент. Если в экономике этот метод рассматривается в качестве вспомогательного, то в психологии он является доминирующим.

Второй метод — это формализация. Он состоит в том, что на первом этапе создается совокупность аксиом, касающихся каких-либо объектов, например риска или предпочтения, на втором этапе с помощью формальных рассуждений выводятся новые утверждения, являющиеся следствиями принятых аксиом, и на третьем этапе проводится экспериментальная проверка исследовательских гипотез.

Третий метод основан на моделировании деятельности по принятию решений, в частности машинном. Результаты моделирования сопоставляются с действиями человека в аналогичной обстановке.

Таким образом, качественные и эффективные управленческие решения должны опираться на объективные законы и закономерности общественного развития. С другой стороны, управленческие решения существенным образом зависят от множества субъективных факторов — логики разработки решений, качества оценки ситуации, структуризации задач и проблем, определенного уровня культуры управления, механизма реализации решений, исполнительской дисциплины и т. п. При этом необходимо всегда помнить, что даже тщательно продуманные решения могут оказаться неэффективными, если они не смогут предвосхитить возможных изменений в ситуации, состоянии производственной системы.

Таким образом,

— управление — функция любого процесса, осуществляемого в организационных системах;

— цель управления — это согласование индивидуальных работ и выполнение общей функции — кооперированного трудового процесса.

— значение управления — это абсолютная необходимость для кооперированного труда.

3. ОПРЕДЕЛЕНИЕ СОСТАВА ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

Определение состава защищаемой информации — это первый шаг на пути построения системы защиты. От Того, насколько он будет точно выполнен, зависит результат функционирования разрабатываемой системы. Общий подход состоит в том[5], что защите подлежит вся конфиденциальная информация, т. е. информация, составляющая государственную тайну (секретная информация), информация, составляющая коммерческую тайну и определяемая собственником (владельцем) часть открытой информации. При этом конфиденциальная информация должна защищаться от утечки и утраты, а открытая только от утраты.

Часто высказывается мнение, что любая открытая информация не может быть предметом защиты. Не все согласны с включением информации, отнесенной к государственной тайне, в состав конфиденциальной.

Поэтому рассмотрим эти вопросы подробнее.

Защита открытой информации существовала всегда и производилась путем регистрации ее носителей, учета их движения и местонахождения, т. е. создавались безопасные условия хранения. Открытость информации не умаляет ее ценности, а ценная информация нуждается в защите от утраты. Эта защита не должна быть направлена на ограничение общедоступности информации, т. е. не может быть отказа в доступе к информации, но доступ должен осуществляться с соблюдением требований по ее сохранности в соответствии с требованиями обработки и использования (например, библиотека).

Теперь что касается разделения информации с ограниченным доступом на конфиденциальную и составляющую государственную тайну. Термин «конфиденциальный» переводится с латинского как «секретный», «доверительный». Но информацию, отнесенную к государственной тайне, принято называть секретной. Возможно, что разделение информации на секретную и конфиденциальную было вызвано стремлением вписаться в ранее принятые нормативные акты.

В «Конвенции о запрещении разработки, производства, накопления и применения химического оружия и его уничтожении», к которой присоединилась и Россия, речь идет об информации, составляющей государственную тайну, но она называется конфиденциальной.

В Законе «О международном информационном обмене» информация, отнесенная к государственной тайне, поставлена в один ряд с «иной конфиденциальной информацией» (ст. 8).

Таким образом, к конфиденциальной информации должна быть отнесена вся информация с ограниченным доступом, составляющая любой вид тайны.

Но изложенный общий подход устанавливает лишь границы защищаемой информации, в пределах которых Должен определяться ее состав. При решении вопроса об отнесении конкретной информации к защищаемой нужно Руководствоваться определенными критериями, т. е. признаками, при наличии которых информация может быть отнесена к защищаемой.

Очевидно, что общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.

Применительно к открытой информации такими критериями могут быть:

— необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;

— необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);

— необходимость информации для управленческой деятельности, сюда относится информация, требующаяся для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ей функционирования;

— необходимость информации для финансовой деятельности;

— необходимость информации для обеспечения функционирования социальной сферы;

— необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;

— важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.

Эти критерии обусловливают необходимость защиты открытой информации от утраты. Они же вызывают потребность в защите от утраты и конфиденциальной информации. Однако основным, определяющим критерием отнесения информации к конфиденциальной и защиты ее от утечки является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет как бы две составляющие: неизвестность информации третьим лицам и получение преимуществ в силу этой неизвестности. Данные составляющие взаимосвязаны и взаимообусловлены, поскольку, с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает получение преимуществ, с другой — преимущества можно получить только за счет такой неизвестности. Конфиденциальность является правовой формой и одновременно инструментом обеспечения неизвестности информации.