Ведущие компании IT-индустрии и финансового сектора расходуют на информационную безопасность не менее 20–25 % от общего IT-бюджета
НЖЯ, сформулированное с ошибкой | правильнееПравильнее |
Аттестация помещения на соответствие требованиям ИБ переговоров | |
При аттестации подтверждается набор требований, которые не выполняются сотрудниками | Набор требований, подтвержденный при аттестации, не всегда выполним |
руководство Руководство не выделяет достаточных средств на обеспечение ИБ (физические/технические препятствия для осуществления положенных работ) | Ресурсы для обеспечения ИБ не всегда в наличие, когда требуются |
Противоречия в требованиях и рекомендациях по обеспечению ИБ | не наша ответственность |
Написание методического руководства для выполнения лабораторной работы «Вычислительная математика» | |
Непонимание применения данной методики на практике/ лабораторные создаются под знания преподавателей/лекции отстают от лабораторных работ | обвинение, завуалированное решение, предполагаемая причина |
незнание Незнание интерфейса среды работ/ среды маткада/базовых дисциплин | |
неадекватный Неадекватный преподаватель | |
отсутствие Отсутствие стимула для работы |
«НЖЯ ЗИ-1». Объем того, что нужно знать сбивает с толку. Специалисты вынуждены изучать «новое» с беспрецедентной скоростью:
законодательные и нормативные правовые акты о государственной (служебной, коммерческой) тайне;
нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;
перспективы развития, специализацию и направления деятельности предприятия и его подразделений;
характер взаимодействия подразделений в процессе хозяйственной деятельности предприятия и порядок прохождения служебной информации;
систему организации комплексной защиты информации, действующую на предприятии;
перспективы и направления развития технических и программно-математических средств защиты информации;
методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;
методы планирования и организации проведения научных исследований, разработок, выполнения работ по защите информации;
порядок заключения договоров на проведение специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;
отечественный и зарубежный опыт в области технической разведки и защиты информации;
основы экономики, организации производства, труда и управления;
правила и нормы охраны труда.
НЖЯ ЗИ-2
Ресурсы дляреализации технической политики ЗИ, определенных в ней перспектив развития технических средств контроля, разработки и внедрения новых технических и программно-математических средств защиты, исключающих или существенно затрудняющих несанкционированный доступ к служебной информации, составляющей служебную, государственную или коммерческую тайну не всегда доступны.
НЖЯ ЗИ-3
Специалисты по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации, перегружены
НЖЯ ЗИ -4
Сбор и анализ материалов о возможных каналах утечки информации должен выполняться с беспрецедентной скоростью.
НЖЯ ЗИ -5
Координация проводимых организационно-технических мероприятий по защите информации, оценке технико-экономической эффективности предлагаемых и реализуемых организационно-технических решений не проводится достаточно быстро и надежно.
Содействует распространению передового опыта и внедрению современных организационно-технических мер, средств и способов защиты информации с целью повышения их эффективности проводится не достаточно быстро.
Шаблоны НЖЯ / языковое клише
- Сбивает с толку Перегружены Конкуренция гораздо жестче, чем когда-либо Существует необходимость работать с беспрецедентной скоростью Растущее давление (рынка), вынуждающее к (снижению цен) Не в состоянии … достаточно быстро и надежно Не разрабатывают достаточного количества инновационных идей
Причинно-следственные связи описывают логические взаимосвязи между элементами действительности (ИП и НЖЯ). Причинно-следственные связи соединяют два утверждения, одно из которых является причиной существования другого.
Как установить логику в ДСД?
Зачитайте вслух связь «Если/так как/поскольку…, то/то мы можем утверждать, что…» и ответьте на следующие вопросы:
Если бы вы зачитывали эту связь кому-то другому, хотели бы вы что-либо пояснить? Если да, то добавьте это пояснение в виде утверждения в дерево.
Вы сами видите смысл в связи «если…,то»?
Являются ли причины А и АВ достаточными для того, чтобы вызвать следствие В? Если нет, то добавьте еще одну причину.
Существует ли еще какая-либо причина для данного следствия, которая сама по себе может вызывать это следствие?
При проверке логики соблюдайте следующие правила:
- «Если…,то…» объясняет связь, а не является утверждением. «Если…и если…, то…» должно быть логичным и не быть просто вариацией утверждений. Ищем исходную посылку, которая может сыграть критическую роль в нахождении решения.
Для решения проблемы, как правило, нам не хватает знаний, метода, правил, процедур, уверенности, взаимного доверия, желания сотрудничать и т. д.
- ОПИСАНИЕ СОДЕРЖАНИЯ ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКОЙ ЧАСТИ ДИПЛОМА
Тема диплома может касаться различных проблем защиты информации на различных объектах. При этом может быть необходима информация о кражах коммерческой тайны. Россия по данным InfoWatch[4]заняла третье место в мировом рейтинге утечек конфиденциальной информации. В том числе персональных данных и коммерческих тайн. Большая часть утечек приходится на государственные предприятия. Наиболее популярным канал утечки становятся бумажные документы.
Студент может анализировать рынок российских компаний, продвигающих услуги в области ИБ. Например, компания LETA[5] в области стратегического анализа оказывает услуги:
- анализа стратегии бизнеса, кадровой стратегии и стратегии ИТ; анализа законодательных требований и требований регулирующих органов, действующих в отношении компании, в области информационной безопасности; разработки, оценки и выбора стратегических альтернатив; определения основных стратегических целей ИБ; определения задач, решение которых необходимо для реализации поставленных целей; формирования плана реализации стратегических задач и бюджетной оценки стоимости их выполнения.
Информацию о мировых рынках решений безопасности для конечных пользователей можно найти в [6]. Статистика соблюдения закона о персональных данных на коммерческих предприятиях публикуется на портале [8]. Студент может решать проблемы нарушения Политики пользователя как источника угрозы информационной безопасности коммерческого предприятия, влияние на поведение людей видеонаблюдения, проблемы мер безопасности, связанных с паролями, уничтожением документов и прочим.
Организационно-экономическая часть диплома по поиску корневой проблемы по защите информации на предприятии или другом объекте должна содержать следующие элементы:
- Постановка задачи для ОЭЧ, как определение корневой проблемы в системе. Описание методологии определения корневой проблемы в анализируемой среде. Для описания среды выбираются материалы из раздела 2 настоящей работы и других источников. Описание проблемной среды защиты информации на конкретном объекте (предприятии). Выдержки из описаний среды приведены в приложении. ДСД. Примеры ДСД приводятся в приложении. Выводы и заключения. В заключении ОЭЧ делается вывод о том, какая проблема является корневой. Теоретически типичными корневыми проблемами в управляемой системе являются следующие проблемы:
- Ошибочная исходная посылка, активно используемая менеджерами системы при принятии ими управленческих решений. Пример: руководство считает, что проблемы надо решать по порядку. Конфликт между двумя тактиками, находящимися в противоречии между собой. В виде корневой грозовой тучи, описывающей корневой конфликт.
В выводах должна быть сформулирована ошибочная парадигма/концептуальная ошибка/корневая проблема существующей действительности, которая не является сегодня правильной для рассматриваемой среды/системы, мешает ей улучшиться. В дальнейшем корневая проблема, позволит сформулировать решение, или определит категории знаний, касающиеся решения.
Объем ОЭЧД должен составлять примерно 5-10 страниц.
ЗАКЛЮЧЕНИЕ
Факты действительности, объясняющие, почему настолько сложно достичь более высоких результатов работы системы – это нежелательные явления. «Явление» говорит о том, что существование данного факта не вызывает сомнений. Могут быть споры о его размахе, но не о существовании. «Нежелательное» говорит о том, что это явление представляет собой опасность для системы.
Дерево существующей действительности (ДСД) – этологическая структура, описывающая причинно-следственные связи в анализируемой области существующей среды. Основная задача ДСД – способствовать проверке и подтверждению того, что существует корневой конфликт всей области анализа, определенный выбранными НЖЯ. Задача построения ДСД состоит в том, чтобы направить разработку решения на действительный конфликт с тем, чтобы усилия не оказались потраченными впустую. ДСД также является логической структурой, в которой записано большинство важных причинно-следственных связей.
Типичными корневыми проблемами в управляемой системе являются следующие проблемы:
- Ошибочная исходная посылка, активно используемая менеджерами системы при принятии ими управленческих решений. Пример: руководство считает, что проблемы надо решать по порядку. Конфликт между двумя тактиками, находящимися в противоречии между собой. В виде корневой грозовой тучи, описывающей корневой конфликт.
Корневая проблема, позволит сформулировать решение, или определит категории знаний, касающиеся решения. В теории ограничений определено пять категорий знания:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
