Аналитическая деятельность службы информационной безопасности банка
Аналитические методы обработки информации успешно используются большинством подразделений, в чьи функции входит защита информационных ресурсов банка. В статье рассматриваются вопросы организации аналитической работы в кредитных организациях. Рассмотрены основные направления деятельности аналитического отдела, действующего в составе службы информационной безопасности банка, порядок обработки поступающей информации*(1).
                      ‘®ўҐвг© ­Ґ в®, зв® ЇаЁпв­ҐҐ,   в®, зв® ўбҐЈ® «гзиҐ.
          ‘®«®­ Ё§ ЂдЁ­, ¤аҐў­ҐЈаҐзҐбЄЁ© дЁ«®б®д, ®¤Ё­ Ё§ "бҐ¬Ё ¬г¤аҐж®ў"
Информация является наиболее важным компонентом в процессе принятия управленческих решений, в том числе и при решении вопросов обеспечения информационной безопасности кредитных организаций.
Аналитические методы обработки информации успешно используются большинством подразделений, в чьи функции входит защита информационных ресурсов банка.
Аналитическая деятельность службы информационной безопасности (далее - СИБ) кредитной организации представляет собой системное получение, анализ и накопление информации с элементами прогнозирования по вопросам, относящимся к тематике информационной безопасности. На основе этой информации производится подготовка предложений для руководства кредитной организации о возможных мерах по противодействию возможным угрозам информационной безопасности.
СИБ проводит аналитическую работу не только с целью предотвращения утраты собственной информации, но и с целью получения информации о конкурентах. Являясь ядром такого понятия, как "разведка в бизнесе", аналитическая обработка информации позволяет получать, по различным оценкам, от 80 до 90% необходимой информации при использовании только открытых источников.
Аналитическое направление деятельности службы информационной безопасности
На основе многолетнего опыта работы в этой области как отечественных, так и зарубежных специалистов сформировалось мнение, что в силу определенных причин наиболее эффективно аналитический отдел (далее - АО)*(2) функционирует как ядро СИБ (рисунок). В первую очередь это объясняется тем, что основным потребителем аналитически обработанных данных является сама СИБ как подразделение, наиболее нуждающееся в аналитически обработанных данных, работающее на опережение и прогнозирование событий.
"Рисунок. Функционирование аналитического отдела СИБ"
Кроме того, в ходе аналитической работы очень часто используются (или могут быть получены) конфиденциальные сведения, что также подтверждает рациональность размещения АО в СИБ. Даже не являющиеся конфиденциальными аналитически обработанные данные представляют собой наиболее ценные сведения кредитной организации.
АО СИБ вполне можно рассматривать как основного поставщика аналитически обработанной информации для нужд всех подразделений банка, в том числе подразделений СИБ.
Основной задачей АО становится информационно-аналитическое обеспечение процесса принятия управленческих решений по различным вопросам деятельности кредитной организации. Сотрудники банка или его подразделений могут заказать аналитический отчет по интересующему их вопросу для принятия более рационального и взвешенного решения.
В этой связи очень важной проблемой становится обеспечение информационной безопасности аналитически обработанных данных, представляющих собой ценный информационный ресурс банка наряду с другими конфиденциальными сведениями. Процесс заказа аналитического отчета должен быть четко регламентирован, чтобы только сотрудники определенного уровня имели право давать задания АО СИБ банка. Все заказы на аналитические исследования должны фиксироваться, причем темы исследований должны быть четко определены*(3). Доступ к аналитически обработанным данным должен быть строго ограничен.
Защита информации внутри АО представляет собой крайне сложную задачу, так как специфика аналитической работы в ряде случаев вступает в прямое противоречие с нормами защиты информации, принятыми в кредитной организации*(4). Например, обеспечение такого важного принципа, как дробление информации, в работе АО в большинстве случаев практически невозможно, так как сотрудники данного подразделения должны иметь полное представление о состоянии дел в банке (по тематике обеспечения информационной безопасности).
Сокрытие какой-либо информации от сотрудников АО может подтолкнуть их к ошибочным выводам, а менеджеров банка - к принятию неверных управленческих решений, что в конечном счете может привести к существенным денежным убыткам.
Аналитический отдел, являясь ядром СИБ банка, не имеет и не должен иметь властных функций.
Возможные функции АО:
обеспечение своевременного поступления надежной и всесторонней информации по интересующим сотрудников банка вопросам;
описание сценариев действий конкурентов, которые могут затрагивать текущие задачи кредитной организации;
формирование структуры и направления своевременного обновления системы защиты информации банка;
осуществление постоянного мониторинга событий во внешней конкурентной среде и на рынке, которые могут иметь значение для интересов кредитной организации и системы защиты информации банка;
обеспечение безопасности корпоративных информационных ресурсов;
обеспечение эффективного сбора, анализа и распространения информации, исключение дублирования исходных и производственных данных.
Направления аналитической работы определяются каждой СИБ кредитной организации самостоятельно и отражают области ее интересов. К основным направлениям аналитической работы, разрабатываемым во многих СИБ, можно отнести: анализ объекта защиты, анализ угроз, анализ каналов несанкционированного доступа к информации, анализ комплексной безопасности, анализ нарушений режима конфиденциальности, анализ подозрений утраты конфиденциальной информации и т.д.
Направления аналитической работы в СИБ кредитной организации могут быть постоянными, периодическими и разовыми. Постоянные направления аналитической работы являются наиболее важными.
Периодические и разовые направления аналитической работы характеризуются жесткой зависимостью от постоянных направлений. Промежутки времени, через которые проводятся исследования в области периодических направлений аналитической работы, всецело зависят от результатов анализа по постоянным направлениям. Разовые направления аналитической работы не только жестко зависят от постоянной аналитической работы, но и в подавляющем большинстве случаев являются следствием результатов таких исследований.
В концептуальном отношении аналитическая деятельность должна представлять собой длинную систему анализа, контроля и прогнозирования внешней и внутренней ситуаций. Все направления аналитической работы должны быть связаны определенной логикой взаимодействия. Результаты исследований в одном направлении должны влиять на ход других исследований таким образом, чтобы результаты постоянных направлений аналитической работы инициировали проведение периодических и разовых исследований, а результаты последних не выпали из внимания специалистов по постоянным направлениям. Следовательно, АО должен быть единой и взаимосвязанной структурой обеспечения руководства кредитной организации достоверной и аналитически обработанной информацией, направленной на информационную поддержку принятия эффективных решений по всем направлениям безопасности бизнеса.
Каждая кредитная организация ведет индивидуальные направления аналитической работы и самостоятельно решает, следует ли разрабатывать их постоянно, периодически или только по мере надобности. Более того, каждый банк имеет свои специфические области интересов, в рамках которых проводит аналитические исследования. Управления аналитической работы могут быть различными, но логика взаимодействия и система связей между направлениями исследований должны сохраняться.
Наиболее сложными для обнаружения угроз информационной безопасности являются организационные каналы несанкционированного доступа к защищаемой информации банка, связанные с так называемым человеческим фактором. Например, трудно обнаружить инициативное сотрудничество злоумышленника с сотрудником банка (секретарем-референтом, экспертом, сетевым администратором и др.).
Результаты аналитической работы показывают степень безопасности интеллектуальной собственности, условий функционирования кредитной организации и являются основой для построения и совершенствования системы защиты традиционных и электронных информационных ресурсов банка.
Аналитическое исследование позволяет выработать способы минимизации рисков, связанных с недостатками в обеспечении информационной безопасности, а также определить ее структуру и стоимость в соответствии с реальными опасностями, угрожающими ценным информационным ресурсам кредитной организации.
Уязвимым является любой элемент информационных ресурсов и информационных систем. Обнаружение действующего или предполагаемого канала несанкционированного доступа к информации, а также предотвращение его появления возможны только при наличии постоянного контроля над обеспечением защиты информационных ресурсов банка.
Аналитическая работа по защите информации, которую ведет АО СИБ банка, и аналитическая работа, которую ведет злоумышленник, предполагают изучение единых объектов, имеющих вполне ясные форму и содержание (например, изучение источников конфиденциальной информации и каналов ее санкционированного распространения). Результаты аналитической работы злоумышленника являются тайной, поэтому, зная узкие места в системе защиты информации кредитной организации, можно сделать обоснованные выводы о его намерениях и своевременно организовать противодействие его угрозам. Другие пути носят пассивный характер ожидания случайной ошибки в тайных действиях злоумышленника.
Также надо обратить внимание, что обнаружение канала (каналов) несанкционированного доступа к ценным информационным ресурсам банка входит в число постоянных направлений аналитической работы и в общем виде включает в себя:
- анализ источников конфиденциальной информации;
- анализ каналов объективного распространения информации;
- аналитическую работу с источником угрозы информации.
Аналитическое исследование источников конфиденциальной информации предусматривает:
- выявление и классификацию существующих и возможных конкурентов банка, криминальных структур и отдельных преступных элементов, интересующихся деятельностью кредитной организации;
- выявление и классификацию максимально возможного числа источников конфиденциальной информации банка;
- выявление, классификацию и ведение перечня реального состава циркулирующей в кредитной организации конфиденциальной информации*(5);
- изучение данных учета осведомленности сотрудников банка с конфиденциальной информацией в разрезе каждого руководителя и сотрудника структурного подразделения кредитной организации;
- изучение состава конфиденциальной информации в разрезе документов*(6);
- учет и изучение выявленных внутренних и внешних, потенциальных и реальных (пассивных и активных) угроз каждому отдельному источнику информации, контроль процесса формирования канала несанкционированного доступа к информации;
- ведение и анализ полноты перечня защитных мер, предпринятых по каждому источнику, и защитных мер, которые могут быть использованы при активных действиях злоумышленника, заблаговременное противодействие злоумышленнику.
Обязательному учету подлежат все санкционированные и несанкционированные обращения сотрудников банка к конфиденциальной информации, документам, делам и базам данных.
По отношению к каналам объективного распространения защищаемой информации (управленческие и производственные действия, функциональные связи персонала, документопотоки, информационные сети, технические каналы излучения информации и т.п.) проводится следующее аналитическое исследование:
выявление и классификация реального максимального состава каналов объективного распространения конфиденциальной информации в банке (далее - канал);
изучение составных элементов каждого канала с целью выявления опасных участков, которые могут быть использованы для несанкционированного доступа к конфиденциальной информации;
исследование и обобщение способов и сферы распространения информации в каждом канале;
изучение (учет) состава конфиденциальной информации, циркулирующей в каждом канале;
изучение (учет) состава конфиденциальной информации, циркулирующей между источниками;
изучение сферы распространения информации при коммуникативных связях кредитной организации (по конкурентам, средствам массовой информации, выставкам, рекламным изданиям и т.п.);
контроль и перекрывание каналов несанкционированного ознакомления с информацией ограниченного доступа для третьих лиц;
исследование состава и эффективности методов защиты, предпринятых по каждому каналу, и дополнительных мер противодействия злоумышленнику при активных угрозах и (или) экстремальных ситуациях.
Анализ угроз является одним из самых важных разделов аналитической работы и представляет собой ответ на вопрос, от чего или от кого следует защищать конфиденциальную информацию. Источники угрозы конфиденциальной информации - объективные и субъективные события, явления, факторы, действия и обстоятельства, содержащие опасность для ценной информации.
К объективным источникам можно отнести чрезвычайные ситуации, технические сбои в работе аппаратно-программного обеспечения банковских информационных систем и др.
Субъективные источники связаны с человеческим фактором и включают действия злоумышленников различного рода, посторонних лиц, посетителей, неквалифицированного или безответственного персонала, сотрудников, обиженных руководством банка, и др.
Аналитическая работа с источником угрозы конфиденциальной информации предусматривает:
- выявление и классификацию максимального состава источников угрозы конфиденциальной информации;
- учет и изучение каждого отдельного субъективного внутреннего и внешнего источника, степени его опасности (анализ риска) при реализации угрозы;
- разработку превентивных мероприятий по локализации и ликвидации объективных угроз.
В области внешних источников угрозы аналитическая работа связана с маркетинговыми исследованиями, которые регулярно ведет любой банк. Анализ внутренних источников угрозы имеет целью выявление и изучение недобросовестных интересов и злоумышленных устремлений отдельных сотрудников кредитной организации и деловых партнеров. В процессе анализа источников выявляются факты получения злоумышленником секретов банка, факты сотрудничества персонала кредитной организации с конкурентами или наличия в составе сотрудников банка злоумышленника.
Контрольная и аналитическая работа, как правило, проводится при потенциальных и пассивных угрозах источникам и каналам распространения информации. При активной угрозе одновременно осуществляется заранее спланированное, продуманное и решительное противодействие злоумышленнику.
В ряде случаев более эффективно основывать анализ не на выявлении и рассмотрении всех объектов защиты и каналов распространения информации, а на выявлении лица, которое заинтересовано в реализации каких-либо угроз. Этот метод позволяет не только более четко спрогнозировать дальнейшие действия этого лица, но и оценить границы его действий и материальные возможности. Сначала нужно выяснить, кто является злоумышленником и что ему нужно, затем, исходя из имеющихся у него средств и возможностей, будет гораздо легче спрогнозировать, как именно он попытается достигнуть своей цели. Однако не следует забывать и о том, что достаточно серьезную угрозу могут представлять и субъекты (объекты), не заинтересованные в нанесении ущерба кредитной организации*(7).
Сотрудники АО СИБ банка должны учитывать все каналы несанкционированного доступа к конфиденциальной информации, выявлять, определять наиболее вероятные из них и контролировать их. С этой целью сотрудники АО должны принимать непосредственное участие в мероприятиях, в ходе которых есть вероятность разглашения конфиденциальной информации кредитной организации.
Сотрудники АО должны быть неплохими психологами и обладать навыками проведения опросов, анкетирования и различных тестов среди персонала банка.
Аналитически обработанные сведения вносятся в электронную базу данных. Аналитические отчеты по каждому направлению представляются с определенной периодичностью. В любой момент времени по требованию руководства СИБ банка АО должен быть в состоянии представить сводный обзор по всем направлениям. При выявлении каких-либо подозрений или угроз сразу же ставится в известность руководитель СИБ (при этом аналитический отчет готовится в кратчайшие сроки).
Не менее важными являются и так называемые периодические направления аналитической работы, которые проводятся через определенные промежутки времени с целью контроля эффективности и возможности внесения улучшений в действующую в кредитной организации систему защиты информации. К такому виду направления аналитической работы прежде всего относится анализ степени безопасности кредитной организации. Очевидно, что постоянная и каждодневная аналитическая работа по данному направлению не имеет смысла. Вполне достаточно проводить анализ через определенные, специально установленные промежутки времени. Это направление аналитической работы находится в прямой зависимости от анализа состава угроз - постоянного направления аналитической работы. Именно результаты аналитической работы по выявлению угроз позволяют установить рациональную периодичность анализа эффективности структуры действующей системы безопасности банка и его информационных ресурсов. Так, при появлении дополнительных угроз аналитическую работу (включающую проверки, контрольные мероприятия и т.п.) следует проводить более часто.
Разовые направления аналитических исследований также являются очень важными в силу того факта, что чаще всего бывают вызваны чрезвычайными обстоятельствами, происшествиями, неожиданно появившимися проблемами и т.п. Типичным примером разового направления аналитической работы является проверка подозрения утраты конфиденциальной информации кредитной организации.
Все направления аналитической работы независимо от их типа, в том числе имеющие разовый характер, должны быть связаны в единую систему, позволяющую эффективно принимать решения, предотвращать угрозы и прогнозировать развитие событий (т.е. "работать на опережение").
Ведение аналитической работы возможно только при наличии необходимой информации, поэтому в первую очередь нужно определить, какая именно информация будет необходима аналитикам для работы, где можно ее получить и какие источники использовать. Как правило, получение информации не относится непосредственно к аналитической работе, тем не менее вопрос определения круга исходной информации, а также мест и способов ее получения должен решаться непосредственно сотрудниками АО.
Этапы предварительного анализа информации
Интерпретация информации является первым этапом предварительного анализа. Под интерпретацией подразумевается выявление истинного значения той или иной информации*(8).
Язык, используемый для описания информации, может допускать неоднозначность ее понимания. Это создает определенные трудности при интерпретации вербальной информации, но в этом случае истинный смысл можно понять из контекста. Информация, которая хранится в персональных компьютерах, как правило, лишена контекста, поэтому ошибочная интерпретация становится гораздо более вероятной. Эксперты определяют цену информации через те действия, которые могут быть предприняты в результате знания этой информации.
Вся информация подразделяется на факты, личные мнения и аналитически обработанные данные. Смешивание или неправильное определение этих различных по своей сути видов информации может приводить к ошибкам в интерпретации и, как следствие, к принятию неправильных решений. Следовательно, процесс интерпретации требует максимальной осторожности и тщательности. В каждом конкретном случае необходимо выявить истинный смысл поступившей информации. Здесь аналитики сталкиваются с такой проблемой, как выделение не относящейся к делу информации.
Избыток информации, так же как и ее недостаток, представляет собой серьезную проблему и затрудняет проведение аналитической работы. На этом этапе существует опасность отбросить важную информацию. Как правило, это может произойти в случае неправильной интерпретации сведений. Кроме того, аналитики могут стремиться хранить не относящуюся напрямую к делу информацию в надежде, что она может пригодиться в будущем. Такая информация должна заноситься в базу данных АО таким образом, чтобы впоследствии ее можно было легко найти. С созданием такой базы данных и ее постоянным пополнением задача поиска и сбора исходной информации для анализа будет значительно облегчена*(9).
Следующий этап - оценка информации. Под оценкой понимается метод ранжирования источников информации, самой информации и способов ее получения:
а) оценка источника:
- надежный источник;
- обычно надежный источник;
- довольно надежный источник;
- не всегда надежный источник;
- ненадежный источник;
- источник неустановленной надежности;
б) оценка информации:
- подтвержденная другими фактами;
- вероятно правдивая (75%);
- возможно правдивая (50%);
- сомнительная (25%);
- неправдоподобная;
- достоверность не поддается определению;
в) оценка способа получения информации источником:
- получил информацию сам (сам видел, слышал и т.п.);
- получил информацию через постоянный источник (через информатора, открытые источники и т.п.);
- получил информацию через разовый источник (случайно подслушанный разговор, слухи и т.п.).
На этапе оценки следует устанавливать, насколько информация соответствует истине. Нельзя забывать и о дезинформации со стороны враждебно настроенных конкурентов, цель которых - максимально исказить истинное положение дел и тем самым привести к неверным управленческим решениям.
В качестве страховочных мер всегда нужно иметь дублирующие источники, использовать дублирующие каналы связи и стараться исключать все лишние промежуточные звенья передачи информации.
Следующим этапом является построение предварительных версий, объясняющих место основных полученных фактов в цепи событий. Первым шагом является составление списка сведений, приготовленных для анализа. Полученные сведения должны быть четко классифицированы по степени достоверности источника, самих сведений и способа их получения. Самые свежие и полные сведения должны рассматриваться в первую очередь. В перечне сведений, приготовленных для анализа, наиболее важные сведения специально помечаются. Материалы с пометками "источник неустановленной надежности" и "достоверность не поддается определению" откладываются и не участвуют в анализе без крайней необходимости.
На этом этапе возникает одна из самых серьезных проблем аналитической работы - противоречия в сведениях. Для ее преодоления необходимо сравнить оценки информации и источника, даты получения спорных сведений. Решающее значение имеют интуиция, знания и опыт самого сотрудника, проводящего анализ. Конфликты в информации должны быть устранены в процессе анализа, для их разрешения собирается дополнительная информация, что соответствует следующему этапу аналитической работы. Если решение, которое будет принято на основе аналитически обработанной информации, является очень важным и нет возможности получить дополнительную информацию для устранения противоречий, то окончательный выбор возлагается на лиц, ответственных за принятие решения. Тем не менее общая доля таких ситуаций должна сводиться к минимуму, так как это свидетельствует о неудовлетворительной работе АО.
Следующим этапом является определение потребности в дополнительной уточняющей информации, а также выяснение, какая именно информация необходима и почему. На этом этапе выявляются пробелы в информации. Часть пробелов может быть быстро установлена, так как является результатом недостаточного исследования, другая же часть пробелов в информации может и не быть обнаружена аналитиком, потому что упущена на этапе сбора сведений. Очевидно, что второй вид пробелов в информации является гораздо более опасным.
Необходимо четко различать понятия "неполная информация" и "пробел в информации". Неполная информация означает отсутствие не имеющих особой важности сведений, что является естественным, так как никогда нельзя получить абсолютно все сведения. Более того, такая информация была бы избыточной и осложнила бы анализ. Пробел же в информации подразумевает отсутствие сведений, являющихся ключевыми в данной ситуации или необходимыми для устранения противоречий. Такие сведения крайне важны для проведения анализа.
После выполнения предыдущих этапов приступают к подготовке аналитического отчета по заданным вопросам. Подготовка отчетов является основной обязанностью аналитика, а готовый отчет представляет собой результат функционирования системы аналитической работы. Отчеты могут быть представлены как в письменном, так и в устном виде.
В зарубежной литературе выделяют три основных вида аналитических отчетов*(10).
Первый вид называют тактическим (оперативным) отчетом. К этому типу относятся экстренные отчеты по какому-либо вопросу небольшого объема, которые необходимы для срочного принятия решения. При этом аналитика редко знакомят с причиной или целью данного задания. Такие отчеты составляются по разовым направлениям аналитической работы.
Второй вид составляют стратегические отчеты. Они содержат более полную информацию и в меньшей степени ограничены по срокам. В них включаются подробная предыстория данной проблемы и прогноз ее дальнейшего развития, причем для построения реалистичной гипотезы анализируется вся предшествующая информация по данной теме. Отчеты такого типа соответствуют постоянным направлениям аналитической работы.
Третий вид представлен периодическими отчетами, основной отличительной особенностью которых является то, что они готовятся по графику. Интервалы между сроками предоставления составляют дни, недели или месяцы. Как правило, такой вид отчетов готовится по проблемам, являющимся объектом постоянного пристального внимания со стороны АО.
Все письменные отчеты должны содержать глубокий анализ и быть представлены в регламентированной (типовой, унифицированной) форме. Потребителями аналитических отчетов являются ответственные за планирование и принятие решений лица, которые вправе предъявлять определенные требования к содержанию и оформлению отчетов. Аналитический отчет должен быть четко, логично и грамотно составлен.
Используется, как правило, следующая форма изложения данных аналитического отчета:
1. Заключение. В заключении должны содержаться ответы на следующие вопросы: какова степень важности полученной информации; каково ее значение для принятия конкретных решений; идет ли речь о каких-либо угрозах, подозрениях, выявленных негативных факторах и т.п. Факты и сведения, на основе которых получены результаты анализа, не должны смешиваться с самими результатами.
2. Рекомендации. Должны быть указаны конкретные направления дальнейших действий службы безопасности и других структурных подразделений для улучшения системы безопасности, предотвращения угроз безопасности информации, принятия наиболее эффективных решений и т.п.
3. Обобщение информации. Изложение самой существенной информации без излишней детализации.
4. Источники и надежность информации. Должны быть указаны предполагаемые оценки надежности данных и источника на момент написания отчета, так как для принятия решений необходимо оценить надежность материалов, являющихся их базой.
5. Основные и альтернативные гипотезы. Обязательно должны указываться рассмотренные в ходе анализа наиболее вероятные гипотезы, что помогает принимать более взвешенные и адекватные решения, а также позволяет еще раз оценить правильность выбранной гипотезы.
6. Недостающая информация. Четко указывается, какая именно дополнительная информация необходима для подтверждения окончательной гипотезы и принятия решения.
Описанная структурная схема проведения аналитического исследования позволяет предоставить в распоряжение пользователя, принимающего решение, структурированный массив ценной информации, отражающей с определенной степенью достоверности ситуацию с обеспечением информационной безопасности кредитной организации.
Использование аналитических отчетов
Основным назначением всех аналитических методов являются обработка полученных сведений, установление взаимосвязи между фактами, выявление значения этих связей и выработка конкретных предложений на основе достоверной и полной, аналитически обработанной информации. Существует широкий спектр специальных методов анализа: графические, табличные, матричные и т.п. - например, диаграммы связи и матрицы участников, схемы потоков данных, временные графики, графики анализа визуальных наблюдений VIA (visual investigative analysis) и графики оценки результатов PERT (program evaluation review technique). Тем не менее следует отметить, что у каждого аналитика есть свой собственный метод анализа, который может быть как комбинацией вышеперечисленных методов, так и сугубо индивидуальным, уникальным методом аналитической работы.
С помощью диаграмм связей выявляется наличие связи между субъектами, вовлеченными в конкретную ситуацию, подвергающуюся анализу, а также области общения, соприкосновения этих субъектов. На диаграмме связей отмечают как наиболее прочные, так и вспомогательные связи между субъектами. Анализируются все связи без исключения, так как в ходе развития событий и получения дополнительной информации вспомогательные связи могут выступить на первый план.
Схемы потоков информации позволяют оценить то, каким образом происходят события. С их помощью можно анализировать пути движения информации среди субъектов анализа, то есть оценивать положение каждого субъекта в общей группе и выявлять неустановленные связи между субъектами, используя определенную, специально подготовленную информацию как индикатор. Метод применим для отображения, например, физических процессов, взаимодействия юридических и физических лиц.
Временные графики используются для регистрации событий. Такая форма представления данных помогает не только эффективнее анализировать события, но и более рационально планировать меры противодействия.
Графики анализа визуальных наблюдений VIA являются составной частью графиков оценки результатов PERT. Оба графика составляются по принципу разбивки сложной операции на составные элементы. Такой принцип позволяет наглядно отражать ход событий. В зарубежных странах графики VIA и PERT применяются для анализа тяжких преступлений и террористической деятельности, а также для повышения эффективности работы предприятий.
В последнее время для аналитической работы все чаще применяются так называемые экспертные системы (expert systems), которые, являясь практическим приложением искусственного интеллекта, оказывают огромную помощь при анализе, а в ряде случаев могут даже заменить собой аналитика. Они представляют собой класс компьютерных программ, которые выдают советы, проводят анализ, выполняют классификацию, дают консультации и ставят диагноз. Экспертные системы не только выполняют все эти функции, но и на каждом шаге могут объяснить аналитику причину той или иной рекомендации и последовательность анализа. Широкое использование таких систем в зарубежных странах объясняется тем фактом, что аналитические задачи, как и все задачи, требующие дедуктивных рассуждений, решаются компьютером не хуже, чем человеком, а в ряде случаев - быстрее и надежнее. В отличие от человека-аналитика у экспертных систем нет предубеждений, они не делают поспешных выводов, не поддаются влиянию внешних факторов. Такие системы работают систематизированно, рассматривая все детали, выбирая наилучшую альтернативу из всех возможных.
Результаты аналитических исследований являются основой построения и регулярной актуализации комплексной технологической системы защиты информации конкретного банка.
П.В. Ревенков,
Банк России, департамент банковского регулирования и надзора,
заведующий сектором, к.э.н.
Д.А. Пивоваров,
Банк России, департамент банковского регулирования и надзора,
экономист I категории
"Управление в кредитной организации", N 4, июль-август 2011 г.
ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД
*(1) Настоящая статья выражает исключительно мнение авторов и не отражает позицию Банка России.
*(2) В зависимости от размеров СИБ это могут быть как отдельно выделенные сотрудники, так и самостоятельные подразделения.
*(3) Речь идет о документальном закреплении ответственности каждого сотрудника, которому предоставлено право заказывать аналитические отчеты у СИБ.
*(4) Имеется в виду строгое разграничение доступа сотрудников кредитной организации к сведениям, отнесенным к коммерческой тайне банка. В данном случае специалистам АО становятся известны достаточно ценные сведения кредитной организации, на основании которых принимаются стратегически важные управленческие решения.
*(5) Целесообразно составлять данный перечень в разрезе источников, обеспечиваемых функций и видов работы с указанием носителей информации: бумажных документов, CD, флеш-накопителей и т.д.
*(6) Имеется в виду изучение правильности разделения сведений, составляющих коммерческую и служебную тайну, между документами и определение избыточности ценной информации в документах.
*(7) Анализ таких возможностей злоумышленника очень помогает при составлении "модели угроз" со стороны возможного нарушителя.
*(8) В первую очередь это относится к вербальной информации.
*(9) Тем не менее избыток информации представляет собой серьезную проблему, так как значительно замедляет ведение аналитической работы, старение и обесценивание информации может происходить очень быстро. Кроме того, избыток не относящейся к делу информации является для руководителя АО сигналом того, что поиск и сбор информации организованы неэффективно.
*(10) См.: Корнеев И.К., Степанов Е.А. Защита информации в офисе. М.: ТК Велби, Проспект, 2010.