Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: LXXIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 17 января 2019 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Мустафина Д.Д., Мазяр К.А., Якучева К.Р. [и др.] ЧЕЛОВЕЧЕСКИЙ ФАКТОР В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. LXXIII междунар. студ. науч.-практ. конф. № 1(72). URL: https://sibac.info/archive/technic/1(72).pdf (дата обращения: 22.11.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

ЧЕЛОВЕЧЕСКИЙ ФАКТОР В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Мустафина Диана Данисовна

студент 4 курса, кафедра ВТиЗИ,

РФ, г. Уфа

Мазяр Константин Андреевич

студент 4 курса, кафедра ВТиЗИ,

РФ, г. Уфа

Якучева Кристина Рудольфовна

студент 4 курса, кафедра ВТиЗИ,

РФ, г. Уфа

Хайретдинов Ринат Ильдарович

студент 4 курса, кафедра ВТиЗИ,

РФ, г. Уфа

В сегодняшней среде организации собирают, передают и используют данные для выполнения различных бизнес-функций. Эти функции влияют на коммуникации, финансы, коммерцию, высшее образование и правительство. Распространение этих данных делает их мишенями для киберпреступников. Киберпреступники (или хакеры) могут работать независимо от других организаций или национальных государств.

Угроза кибератаки привела к большим инвестициям в безопасность хранения данных, сети и кибердефицитных систем. Несмотря на эти инвестиции, киберпреступность по-прежнему широко распространена. В новостных СМИ почти ежедневно сообщается о серьезных нарушениях. За последние несколько лет инциденты в области кибер-преступности и информационной безопасности стали экспоненциальным ежегодным увеличением. Согласно индексу безопасности IBM Cyber Security Intelligence 2015 года, было почти вдвое больше случаев кибербезопасности, чем в 2014 году.

Несмотря на значительные бюджетные расходы на инструменты и системы для борьбы с кибератаками, очень мало сравнительных инвестиций в человеческие факторы и культуру безопасности.

Информационная безопасность — это не только техническая проблема. Инвестиции организации в технологии не устраняют многие проблемы безопасности. Среди практиков кибербезопасности хорошо известно, что люди являются слабым звеном в информационной безопасности, и многие человеческие факторы влияют на управление информационной безопасностью. Нежелательное поведение пользователя информационной системы является прямым отражением культуры информационной безопасности в организации. В вышеупомянутом отчете IBM говорится, что 9 из 10 инцидентов информационной безопасности были вызваны какой-то человеческой ошибкой. Это десятипроцентное увеличение участия человека в течение двухлетнего периода. Несмотря на это, организации по-прежнему продолжали фокусировать свои инвестиции в кибербезопасность в области технологической инфраструктуры. Существует очевидный разрыв в информационной безопасности между организациями, которые рассматривают только технологические аспекты безопасности и не учитывают человеческие аспекты.

Человеческие ошибки могут быть результатом небрежности, случайности или преднамеренного действия. Поэтому, организации должны инвестировать в создание культуры информационной безопасности, которая включает весь персонал и руководство.

Организации, имеющие культуру безопасности, минимизируют риск, связанный с конфиденциальностью информации. Распространенное исследование подчеркивает, что положительная культура информационной безопасности может усилить соблюдение политики безопасности, укрепить общую позицию информационной безопасности и сократить финансовые потери, связанные с нарушениями безопасности.

В настоящей работе представлен обзор факторов, влияющих на человеческую сторону информационной безопасности и поощрения желаемой культуры безопасности. Культура информационной безопасности, как было установлено, оказывает положительное влияние на соблюдение сотрудниками политики безопасности и поведение. Культуру информационной безопасности определяют как «Сбор представлений, взглядов, ценностей, предположений и знаний, которые определяют взаимодействие человека с информационными активами в организации с целью влияния на поведение безопасности сотрудников для сохранения информационной безопасности».

Человеческие и организационные факторы могут быть связаны с технической информационной безопасностью.

Факторов, влияющие на безопасность компьютера делятся на две категории, а именно человеческий фактор и организационный фактор. Человеческие факторы является важнее других факторов. Они делятся на следующие группы:

  1. факторы, которые относятся к управлению, а именно рабочая нагрузка и некачественная работа персонала;
  2. факторы, связанные с конечным пользователем.

Далее мы сосредоточимся на четырех человеческих факторах, которые имеют серьезные последствия для влияния на поведение пользователей:

Обучение и осведомленность – это основа всех процветающих культур в области информационной безопасности. Это обеспечивает сотрудников знаниями, необходимыми для правильной работы с информационными системами, соблюдая политику обработки данных. Менеджеры информационной безопасности должны внедрять программы обучения и повышения осведомленности, ориентированные на политику информационной безопасности, роли и обязанности. Сотрудники, которые не имеют надлежащего уровня осведомленности, могут подвергнуть организацию рискам. Организации должны выделять ресурсы для создания навыков обеспечения информационной безопасности на всех уровнях персонала. Было доказано, что обученные сотрудники демонстрируют более позитивную культуру информационной безопасности. Независимо от инвестиций в аппаратное или программное обеспечение, неподготовленный или неосведомленный сотрудник становится вектором кибер-атаки. Отсутствие навыков и осведомленности могут привести к преднамеренным или непреднамеренным ошибкам, которые, в свою очередь, могут принести ущерб безопасности компании. Пользователи компьютеров, обладающие необходимым набором знаний и концепций информационной безопасности, демонстрируют более благоприятное отношение к информационной безопасности, что приводит к более позитивному поведению. Организации должны обучить работников работе с информационной системой в области безопасности, и этого будет достаточно для устранения множества ошибок.

Отсутствие осведомленности о кибератаках, цель которых – человеческий фактор в значительной степени способствует нарушениям, вызванным поведением людей. Руководство несет ответственность за то, чтобы их программы информирования были полезны для сотрудников. Кроме того, план обучения необходимо постоянно пересматривать. Программы информирования должны быть разработаны с использованием языка и жаргона, характерных для бизнес-целей и среды.

Более подробно изучив эти данные, опасения по поводу ненадлежащего использования информационных технологий сотрудниками в значительной степени зависят от размера компании. Причем очень малые предприятия (с 1-49 сотрудниками) чувствуют себя более подверженными риску этой угрозы, чем предприятия с более чем 1000 сотрудниками. Это может быть связано с рядом факторов, включая предприятия, потенциально имеющие более строгую политику, и более тщательную подготовку персонала по передовой практике. Кроме того, очень малые предприятия, возможно, предоставляют сотрудникам большую степень лояльности в плане использования ИТ-ресурсов для бизнеса.

Сегодня в мире распространено халатное отношение к проблеме человеческого фактора. Корпорации выделяют огромное количество средств на обеспечение технической и программной защите информации. Все затраты становятся напрасными, если сотрудники не будут осведомлены о правилах работы с системами, так как открытие привлекательного файла, пришедшего на почту работника, может стать фатальным для всей информационной системы предприятия.

Необходимо создавать культуру информационной безопасности в предприятиях. Объяснять и показывать на примере что стоит делать сотрудникам, а что не стоит. Демонстрировать опыт прошлых лет, обучать и осведомлять персонал. Это не будет иметь смысла если не использовать понятный язык и формулировки.

Безопасность информации – это состояние защищенности информации, необходимо непрерывно обеспечивать его не только программно-аппаратными средствами, но и усилиями сотрудников на всех уровнях.

 

Список литературы:

  1. ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения». Москва: Стандартинформ, 2009.
  2. H.W. Glaspie and W. Karwowski: Human Factors in Information Security Culture: A Literature Review (2018).
  3. Chen, Y., Ramamurthy, K., Wen, K.W.: Impacts of comprehensive information security programs on information security culture. J. Comput. Inf. Syst.
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.