Scientific journal
Fundamental research
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,674

SUSTAINABILITY OF INFORMATION SYSTEMS WITH THE ACCOUNT OF THE HUMAN FACTOR

Chentsov S.V. 1 Krasnov I.Z. 1 Sidaras A.A. 1
1 Siberian Federal University
This article is dedicated to the study of the problem of accounting the human factor in the management of information systems and ensuring their sustainability. There is analyzes of the causes of the destructive impact of users on the information system in this article. The concept of competence as an aggregate of personal and professional qualities of the subject regarding to the profile type of activity is considered. Statistical research within the framework of studying the psychological characteristics of people based on a differential approach for revealing the propensity to a particular type of activity is done. A mathematical model of the information system is given. Rules for the calculation of competence are formulated; a general statement of the problem of ensuring the stability of information systems with the consideration of the human factor is given.
computer information system
insider
human factor
competence
differential approach
competence
sustainability of functioning

Анализ причин деструктивного воздействия пользователей

В современных условиях информатизации общества одним из решающих факторов, определяющих устойчивость функционирования информационной системы, является человеческий фактор. По данным исследования 2016 г., проведенного компанией InfoWatch [1], самым распространенным и опасным видом внутренней угрозы корпоративным информационным системам (далее КИС) является активное влияние человека на управляемую систему. Среди распределения утечек по вектору воздействия на инсайдера приходится 61,8 %. В данной статье под инсайдером подразумевается пользователь КИС, имеющий доступ к системе управления обработкой информации. При таком положении дел технические средства защиты КИС оказываются практически бесполезными. Деструктивные действия инсайдеров негативно сказываются на устойчивом функционировании КИС. Под устойчивым функционированием информационной системы понимается свойство осуществлять требуемые преобразования информации, сохраняя выходные реакции в пределах допусков, установленных спецификацией, при воздействии таких факторов нестабильности, как ошибки исходных данных программ, некорректные действия персонала, отказы и сбои оборудования [2]. В управлении системой остро ощущается необходимость перехода от несистематизированного и подавляющего своим объемом набора лучших практик к комплексу инструментов управления с учетом человеческого фактора [3]. На сегодняшний день крайне редко исследования отражают тот факт, что в современных условиях информатизации общества одним из решающих факторов, определяющих устойчивое функционирование КИС, является высокий уровень профессионализма пользователей, допущенных к информационным ресурсам (далее ИР). Поэтому проблема управления системой с учетом человеческого фактора приобретает актуальность решения задачи снижения деструктивного воздействия на КИС пользователей с низким уровнем профессионализма.

Российские стандарты ГОСТ Р ИСО/МЭК 15408 [4], ГОСТ Р ИСО/МЭК 27001 [5] утверждают, что системы организационных и технических мер защиты будут наиболее эффективны, в рамках построения СУИБ, при максимальном ограничении пользователей к ИР.

Международный стандарт COBIT 5 [6] рекомендует во главу управления бизнес-процессами, основанными на информационных технологиях, ставить людей с высоким уровнем профессионализма, определяемого как компетентность. Предлагая учитывать компетентности персонала, документ не предлагает методики расчёта уровня компетентности.

Человеческий фактор. Алгоритм управления

Развитие методологии управления позволило сформулировать структуру управленческой деятельности и выделить компоненты теории управления, учитывающие деятельность человека [7]. В данном случае учет человеческого фактора выразится в его активном влиянии на процесс управления, являясь положительной обратной связью при принятии управленческого решения, основанного на анализе психологических свойств человека. Это заостряет взгляд на проблему, которая усугубляется отсутствием системы идентификации пользователей информационной системы с учетом индивидуальных психологических свойств каждого. «Важной задачей является оптимальное распределение функций между человеком и машиной со всеми присущими ему свойствами и собственными целями» [8].

Такая постановка вопроса является основой в решении актуальной задачи обеспечения устойчивого функционирования КИС с учетом человеческого фактора. В соответствии с теорией ограниченной рациональности в принятии решений, невозможность или целесообразность нахождения оптимального решения может быть обусловлена факторами ограниченности когнитивных возможностей управленца (он не может в требуемое время проанализировать все возможные альтернативы и вынужден остановиться на первой найденной альтернативе, которая приводит к устраивающему его значению критерия эффективности) [9].

В системе может быть много компонентов накопления и обработки разнородной информации (формирование баз данных пользователей, статистическая обработка количественной информации, оптимизация принятия решения), в результате с помощью СППР формируется набор допустимых решений. Важнейшими компонентами СППР являются методы и алгоритмы обработки априорной информации при решении задачи адаптации персонала КИС в соответствии с психологическими свойствами каждого относительно требований и условий предстоящей деятельности.

Влияние человеческого фактора на устойчивость КИС определяется уровнем профессионализма человека и напрямую зависит от индивидуальных психологических свойств, уровня образования и навыков в работе каждого. Также следует отметить, что на данный момент не существует руководств и методик по управлению деятельностью пользователей с учётом их личностных качеств, знаний, умений и навыков, определяемых как компетентность. Наиболее предпочтительным является динамическое управление деятельностью пользователей, суть которого заключается в отслеживании и прогнозировании деятельности пользователей с учетом индивидуальных психологических свойств и образовательного уровня относительно требуемого вида деятельности с целью контроля перехода пользователя КИС в категорию инсайдера.

Статистическое исследование

Выбор управления с учетом расчетного уровня компетентности стал возможен после проведения анализа результатов статистического исследования в рамках изучения психологических особенностей людей на основе дифференциального подхода, целью которого является выявление склонности к конкретному виду деятельности [10, 11].

При проведении статистического исследования анализировалась степень соответствия между деятельностью и индивидуальными психологическими свойствами пользователей и были получены выборки по видам деятельности при обработке результатов тестирования.

Введём обозначения. Вид профессиональной деятельности D = {d1, d2, d3, d4}, d1 – коммуникативный вид деятельности, d2 – командный вид деятельности, d3 – регламентный вид деятельности, d4 – творческий вид деятельности, di = [0, 1], chen01.wmf. Предрасположенность к виду деятельности P = {p1, p2, p3, p4}, p1 – предрасположенность к коммуникативному виду деятельности, p2 – предрасположенность к командному виду деятельности, p3 – предрасположенность к регламентному виду деятельности, p4 – предрасположенность к творческому виду деятельности, pi = [0, 1], chen02.wmf.

chenc1.tif

Результаты анализа относительно d1

Объём выборки 4400 (для P1 и P4). Элементы выборки xi∈X – значения от 0,0 до 1,0 с интервалом 0,1, обозначающие степень соответствия pi требуемому di, где 0,5 – максимальное соответствие, 0 и 1 соответственно минимальные соответствия di к pi. Частоты встречаемости элементов выборки ni сопоставлены в соответствии с xi.

Для выборок относительно d2, d3, d4 проведены аналогичные исследования. В итоге для всех четырех типов D были получены графики распределения. По данному графику, на рисунке, видна следующая динамика – даже при максимальном соответствии pi к dj (x6 = 0,5) число успешных обращений различается (наибольшее у pi = di, минимальное у pi = d1+((i+1) mod 4). При проверке закона распределения числа успешных обращений по критерию согласия Пирсона при pi = di закон подчиняется нормальному, для остальных – нет. В результате статистического исследования выявлено, что требуемому виду деятельности в КИС соответствуют конкретные индивидуальные психологические свойства пользователей.

Математическая модель КИС. Постановка задачи исследования

Для постановки задачи устойчивого функционирования КИС с учётом человеческого фактора необходимо произвести её описание. КИС можно представить множеством критичных информационных ресурсов (объектов), посредством которых множество пользователей (субъектов) может произвести деструктивное воздействие на КИС.

Введём дополнительные обозначения. Объекты КИС O = {o1,o2,…,on}. Субъекты КИС S = {s1,s2,…,sm}. Степень критичности информационного ресурса C = {с1, c2, c3}, c1 – конфиденциальная информация, c2 – информация для служебного пользования, c3 – общедоступная информация. Образовательная характеристика Q = {q1, q2, q3, q4}, q1 – образование и опыт в профессиональном виде деятельности, q2 – образование в профессиональном виде деятельности, q3 – опыт в профессиональном виде деятельности, q4 – отсутствие образования и опыта в профессиональном виде деятельности, qi = [0, 1], chen03.wmf. Право доступа к информационному ресурсу R = {r1, r2, r3, r4}, r1 – право доступа на чтение, запись и удаление, r2 – право доступа на чтение, запись, r3 – право доступа на чтение, r4 – Право доступа к ресурсу отсутствует, ri = [0, 1], chen04.wmf Матрица доступа субъект-объектных отношений M[s, o] = r. Расчётный уровень компетентности для субъекта s, относительно вида деятельности d Km[s, d], Km[s, d] = [0, 1]. Вес для степени критичности ресурса V[c], V[c] = [0, 1].

Каждый ИР (объект o∈{O}) соотносится с одним из видов профессиональной деятельности d∈{D} и имеет свою степень критичности c∈{C}. В свою очередь каждый (субъект s∈{S}) обладает предрасположенностью к требуемому виду деятельности p∈{P} и имеет собственную образовательную характеристику q∈{Q}.

Доступ к объектам КИС регламентируется правами доступа r∈{R} в матрице доступа (MД), проиндексированной множеством критичных информационных ресурсов (объектами {O}) и множеством пользователей (субъектами {S}) КИС. Субъект s∈{S} по отношению к виду профессиональной деятельности d∈{D} обладает расчётным уровнем компетентности Km[s, d] и, в соответствии с ним относительно степени критичности ресурса c∈{C}, ему присваивается право доступа r = M[s, o].

На основании закономерностей, описывающих приоритеты элементов pi и pj друг перед другом относительно dk [12] уже возможно составить правила для определения компетентности.

Правило 1: Km [s, d] считается максимальным, если

(pi∈{P}) = (di∈{D}) и q∈{Q} = q1; i = chen06.wmf. (1)

Правило 2: Km [s, d] считается минимальным, если

(pi∈{P}) = (d1+ ((i+1) mod n)∈{D}) и q∈{Q} = q4; i = chen07.wmf. (2)

Правило 3: Остальные значения Km [s, d] подчиняются правилу:

Правило 2 не выполняется и (pi∈{P}) ≠ (di∈{D}) и q∈{Q} = qi; i = chen08.wmf. (3)

Правило 1 говорит о том, что при совпадении предрасположенности pi и di, а также при наличии максимальной образовательной характеристики Km [s, d] максимально. Правило 2 говорит о том, что при полном несовпадении предрасположенности pi и dj, а также при наличии минимальной образовательной характеристики Km [s, d] минимально. Во всех остальных случаях значение Km [s, d] принимает промежуточное значение, которое необходимо рассчитать.

Воздействие, которое управляющее лицо будет выполнять для повышения устойчивости КИС, будет заключаться в том, чтобы повысить уровень компетентности субъекта, назначенного на объект. Этого можно добиться несколькими способами. Во-первых, можно увеличить образовательную характеристику субъекта, иначе говоря повысить ему квалификацию с точки зрения его знаний, умений и навыков. Во-вторых, можно произвести глубокий реинжиниринг персонала, произведя переназначение субъектов к объектам. Второй вариант позволит при меньших затратах (расход на дополнительное обучение, повышенная стимуляция) добиться сравнимых либо больших результатов с точки зрения устойчивости КИС. Создание технологии, учитывающей психологические свойства пользователя, уровень образования и опыт работы, сгруппированные по расчетным уровням компетентностей, может значительно улучшить устойчивость функционирования КИС за счет предоставления санкционированного доступа к соответствующему ИР.

В результате выбора второго варианта необходимо добиться распределения доступа субъектов к информационным ресурсам с соблюдением правила, чем выше уровень Km [s, d], тем больше прав доступа к ресурсу у пользователя.

Таким образом, для обеспечения устойчивого функционирования КИС необходимо множеству информационных ресурсов {O} сопоставить субъектов {S} с максимальным расчетным уровнем компетентности Km [s, d].

На основании вышеизложенных утверждений и установленных правил (1), (2), (3) общая постановка задачи исследования выглядит следующим образом:

∀si, oj : M[s, o], max Km [s, d] si,∈{S}, d∈{D}, o∈{O}. (4)

Заключение

Разработка системы разграничения доступа пользователей к корпоративным ресурсам на основании матрицы доступа в соответствии с расчетным уровнем компетентности пользователя является актуальной задачей повышения функционирования информационной системы с учетом человеческого фактора как основного ресурса производства. Поэтому становится очевидной актуальность данной темы исследования в области обеспечения устойчивого функционирования корпоративной информационной системы с учетом человеческого фактора.