Тема 3. Методика создания АИС и АИТ: структура (обеспечивающая и функциональная часть), стадии проектирования, роль пользователя.

В состав АЭИС входят различные по назначению и содержанию элементы. Это, как правило: коллектив специалистов управления, модели решения задач, техпроцесс обработки данных, сведения, необходимые для функционирования системы, ПЭВМ, программы обработки данных, средства фиксации и отображения информации, каналы и аппаратура связи, инструкции персоналу и т.д. Эти разнообразные элементы играют различную роль в организации решения и реализации задач управления. Поэтому в настоящее время принято весь набор элементов, образующих АЭИС, по их роли в решении задач управления принято подразделять на две группы подсистем.

Первая, получившая название функциональной, включает те элементы, которые отражают существо задач управления, то есть воспроизводят закономерности функционирования и перспективы развития объекта с целью выработки управляющих воздействий. Вторая группа подсистем, получившая название обеспечивающих, включает те элементы, которые способствуют реализации задач системы управления объектом, образуя ее программно-техническую и информационную основу.

Функциональные подсистемы представляют собой основное содержание системы управления: ее цели, критерии, ограничения, задачи, особенности функционирования. В АЭИС это математическое, формализованное отображение закономерностей хозяйственной деятельности объекта управления. В функциональных подсистемах должны быть выражены конкретные экономико-математические модели управления, разработанные и представленные в виде определенного перечня автоматизируемых функции, комплексов задач и алгоритмов их решения с помощью средств вычислительной техники. Функциональные подсистемы должны включать в себя все задачи по автоматизируемой функции управления. Качество разработки функциональных подсистем в основном определяет экономический эффект от всей АЭИС, так как от возможностей моделей зависит мобилизация внутренних резервов объекта управления и улучшение экономических показателей его деятельности. Функциональные подсистемы, являясь основой АЭИС, определяют, требования к квалификации и численности работников аппарата управления, составу и содержанию показателей, структуре и мощности комплекса технических средств.

Обеспечивающие подсистемы включают комплекс технических средств, систему информации и носители данных, программы и инструкции решения задач управления. Они предназначены для реализации задач функциональных подсистем, осуществляя регистрацию первичных данных на машинных носителях, их рациональную компоновку и хранение, обработку и доведение информации до специалистов.

Таким образом, АЭИС - это сложная система управления, состоящая из подсистем. Подсистема это часть системы, выделенная по определенному признаку, отвечающему конкретным целям и задачам управления. В рамках этих задач она может рассматриваться, как самостоятельная система.

В системе управления промышленным производством рекомендуется выделение следующих функциональных взаимоувязанных подсистем:

а) в сфере технической подготовки и организации обслуживания производства:

управление технической подготовкой производства,

управление инструментальным хозяйством,

управление транспортным хозяйством,

управление ремонтным обслуживанием,

управление энергетическим хозяйством,

управление качеством,

б) в сфере экономического управления:

технико-экономическое планирование,

бухгалтерский учет,

управление финансами,

в) в сфере управления материальным потоком:

управление сбытовой деятельностью,

оперативное управление основным производством,

управление системой материально-технического обеспечения,

г) в сфере управления трудовыми ресурсами:

система управления кадрами.

Количество и состав функциональных подсистем во многом зависят от специфических особенностей объекта автоматизации и применяемых методов управления.

Основными видами обеспечения являются:

информационное обеспечение;

техническое обеспечение;

программное обеспечение.

Кроме перечисленных основных, при создании многоуровневых интегрированных систем управления, возможно еще дополнительное выделение таких видов обеспечения, как:

организационное обеспечение,

правовое обеспечение,

кадровое обеспечение,

лингвистическое обеспечение и др.

Основными видами обеспечения любых разновидностей и уровней управления ЭИС являются: информационное, техническое и программное.

Информационное обеспечение представляет собой совокупность конструкторско-технологической и технико-экономической информации, отражающей через систему натуральных, трудовых и стоимостных показателей сведения необходимые для регулярного и эффективного решения комплексов задач АЭИС. Главным назначением информационного обеспечения является организация и надежное хранение на машинных носителях всех данных необходимых для решения задач пользователей и надежный доступ к этим данным.

Информационное обеспечение включает в себя:

унифицированную систему документации;

упорядоченный документооборот;

единую систему классификации и кодирования данных;

систему нормативно-справочной информации;

систему планово-учетной и оперативной информации;

систему идентификации информации в файлах данных;

процедуры формирования и накопления данных на машинных носителях;

средства обновления и корректировки файлов данных.

Информационное обеспечение должно быть совместимо с системами других уровней и назначения, организовано по принципу банка данных или базы знаний.

Техническое обеспечение представляет собой комплекс вычислительных и периферийных средств, установленных и взаимодействующих между собой в процессе реализации разнообразных задач управления. Техническое обеспечение включает в себя:

комплекс совместимых электронно-вычислительных машин;

средства регистрации и сбора данных;

аппаратуру сопряжения и каналы связи;

вспомогательное и сервисное оборудование;

специальное оборудование для помещений (кондиционеры, пожарная и охранная сигнализация)

Под программным обеспечением понимается совокупность программных и документальных средств, предназначенных для создания и эксплуатации систем обработки данных.

Программное обеспечение принято подразделять на базовое и специальное.

Базовое или системное программное обеспечение представляет собой совокупность программ, описаний и инструкций, организующих процесс обработки информации в компьютере. Базовое программное обеспечение тесно связано с аппаратными средствами и его считают составной частью компьютера. Как правило, это:

разнообразные операционные системы;

сервисные программы;

трансляторы языков программирования;

программы технического и сервисного обслуживания.

Специальное (прикладное) программное обеспечение разрабатывается для реализации конкретных задач пользователя и организации вычислительного процесса информационной системы в целом с учетом специфических особенностей объекта управления.

Кроме рассмотренных, при создании многоуровневых АСУ осуществляется разработка дополнительных видов обеспечения: организационного, правового, кадрового, лингвистического и др.

Организационное обеспечение это перечень нормативных актов, правил и требований к структуре и организации управления в условиях функционирования АЭИС. Организационное обеспечение представляется набором документов по созданию научно-обоснованной системы управления конкретным объектом. В достаточно обобщенном виде оно включает в себя:

усовершенствованную гибкую организационную и функциональную структуру управления всем объектом и его составными частями;

уточненные функции руководителей и ведущих специалистов;

доработанные положения о подразделениях и должностные инструкции персоналу;

обоснованный расчет численности и квалификационный состав работникам аппарата управления по бизнес процессам;

штатное расписание всех подразделений.

Правовое обеспечение представляет собой совокупность нормативных актов и правил, определяющих на основе действующих законодательств, взаимоотношения организаций и должностных лиц при создании функционировании АЭИС. Правовое обеспечение АЭИС включает в себя:

набор нормативных документов, регламентирующих процесс создания и организации функционирования АЭИС ( общеотраслевые руководящие методические материалы, ГОСТы, отраслевые стандарты и методические материалы);

права, обязанности и действия персонала в процессе функционирования и эксплуатации АЭИС (технологические процедуры управления).

Кадровое обеспечение представляет собой систему методов и средств по подбору, расстановке, подготовке и повышению квалификации работников аппарата управления и специалистов, обеспечивающих функционирование АЭИС. Целью кадрового обеспечения является:

создание условий для эффективной и творческой деятельности управленческого персонала;

организация квалифицированного использования и обслуживания средств вычислительной техники;

обеспечение рационального сочетания личных интересов и интересов организации.

Лингвистическое обеспечение это совокупность языковых средств, терминов и определений, позволяющих облегчить процесс общения человека с ПЭВМ и повысить эффективность машинной обработки информации.

Процесс создания такой сложной и специфичной системы управления, какой является АЭИС, подразделяют на два основных этапа: макропроектирование и микропроектирование.

Макропроектирование предполагает формулирование цели и принципиальных положений по создаваемой автоматизированной системе управления, разработку экономико-организационной модели и концепции ее построения, определение подходов к созданию информационной базы и комплекса технических средств. Этот этап предполагает предварительное исследование и изучение особенностей функционирования объекта, разработку технического задания и экономическое обоснование целесообразности проведения работ (бизнес план). При этом объект управления, в виду его сложности, представляется в формализованном виде, а на основе декомпозиции общая модель системы управления подразделяется на частные бизнес процессы и бизнес функции управления, автоматизируемые комплексы задач, Завершается этап макропроектирования разработкой общего технического проекта на всю автоматизированную систему.

На стадии микропроектирования осуществляется реализация на ПЭВМ конкретных задач управления и производится разработка всех основных видов обеспечения. Именно на этом этапе решается важная проблема совершенствования организационной и функциональной структуры объекта управления, когда наряду с разработкой алгоритмов задач управления и их реализацией на базе комплекса технических средств обеспечивается достижение заданных параметров функционирования системы. Выполняемое на данном этапе проектирование функциональных систем, подсистем, комплексов задач и отдельных задач, а также необходимых видов обеспечения, завершается разработкой всей рабочей документации, необходимой для опытной эксплуатации и внедрения составных частей АЭИС.

Подробное содержание этапов и стадий работ регламентировано ГОСТами по созданию АСУ и соответствующими общеотраслевыми руководящими методическими материалами (ОРММ). Эти стадии включают в себя следующее:

обследование и анализ существующей системы управления;

разработка технического задания и технико-экономического обоснования (или бизнес-плана);

техническое проектирование системы в целом и ее составных элементов: функциональных подсистем и основных видов обеспечения;

рабочее или техно–рабочее проектирование систем, подсистем, комплексов задач;

опытная эксплуатация и внедрение элементов системы с последующим объединением в единое целое;

организация функционирования и развитие АЭИС.

Таким образом, создание АИС и АИТ не столько приводит к высвобождению специалистов, сколько выдвигает к ним новые требования, т. е. позволяет качественно изменить их труд. Наиболее важным требованием к специалистам является уме­ние осуществить постановку задач, т.е. составить алгоритмы их решения, установить состав информационного наполнения вычис­лительных процедур для получения искомых результатов, сформу­лировать требования к методам контроля решаемых задач. Постановка задачи пользователем требует от него выполнения комплексов операций в последовательности, определяемой логи­кой их внутренней взаимосвязи, что отражает технологию этого процесса.


Тема 4. Защита информации

Без должного внимания к вопросам обеспечения безопасности последствия перехода общества к новым технологиям могут быть катастрофическими для него и его граждан. Именно так обстоит дело в области атомных, химических и других экологически опасных технологий, в сфере транспорта. Аналогично обстоит дело и с информатизацией общества

Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий.

Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляюших системах наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия.

Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация, была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования, блокирования или уничтожения.

Имеются веские основания полагать, что применяемые в настоящее время большинством организаций меры не обеспечивают необходимого уровня безопасности субъектов, участвующих в процессе информационного взаимодействия, и не способны в необходимой степени противостоять разного рода воздействиям с целью доступа к критичной информации и дезорганизации работы автоматизированных систем.

Основные причины обострения проблемы обеспечения безопасности информационных технологий

Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами:

• обострением противоречий между существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование

• расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи

• повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности

• вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса

• концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях

• количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам

• отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем

• многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации

• ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации

• увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов)

• развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).

Основными источниками угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

• сбои и отказы оборудования (технических средств) АС;

• ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

• ошибки эксплуатации (пользователей, операторов и другого персонала);

• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).


Классификация угроз безопасности

 
 

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

 

Рис. 1.5.1. Классификация угроз по источникам и мотивации

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

• преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал, конечные пользователи).

Основные непреднамеренные искусственные угрозы

Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2) неправомерное отключение оборудования или изменение режимов работы устройств и программ;

3) неумышленная порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

6) заражение компьютера вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

10) игнорирование организационных ограничений (установленных правил) при работе в системе;

11) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

13) пересылка данных по ошибочному адресу абонента (устройства);

14) ввод ошибочных данных;

15) неумышленное повреждение каналов связи.

Основные преднамеренные искусственные угрозы

Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

6) применение подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.;

7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сели питания, отопления и т.п.);

8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);

10) несанкционированное копирование носителей информации;

11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");

15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

16) вскрытие шифров криптозащиты информации;

17) внедрение аппаратных "спецвложений", программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

Виды мер противодействия угрозам безопасности

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

правовые (законодательные);

морально-этические;

технологические;

организационные (административные и процедурные);

физические;

технические (аппаратурные и программные).

Правовые (законодательные)

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

Морально-этические

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

Технологические

К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.

Организационные

Организационные меры зашиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Меры физической защиты

Физические меры защиты основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).


Технические

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на рисунке 1.6.1.

 


Рис. 1.6.1 Взаимосвязь мер обеспечения информационной безопасности

1 -Нормативные и организационно-распорядительные документы составляются с учетом и на основе существующих норм морали и этики.

2 - Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих правил поведения, принятых в стране и/или организации

3 - Воплощение организационных мер требует разработки соответствующих нормативных и организационно-распорядительных документов

4 - Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами

5 - Применение и использование технических средств защиты требует соответствующей организационной поддержки.

Достоинства и недостатки различных видов мер защиты

Законодательные и морально-этические меры

Эти меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.

Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Организационные меры

Очевидно, что в организационных структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего надо решить правовые и организационные вопросы.

Организационные меры играют значительную роль в обеспечении безопасности компьютерных систем. Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать чиновники, далекие от технического прогресса.

Этим мерам присущи серьезные недостатки, такие как:

• низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить);

• дополнительные неудобства, связанные с большим объемом рутинной и формальной деятельности.

Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.

Физические и технические средства защиты

Физические и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных (по ошибке или халатности) нарушений регламента со стороны персонала и пользователей системы.