Международный Научный Институт "Educatio" VII (14), 2015 11 Технические науки ПОСТРОЕНИЕ МОДЕЛИ ОЦЕНКИ НАДЕЖНОСТИ ПЕРСОНАЛА В ИНТЕРЕСАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, КАК МОДЕЛИ ОЦЕНКИ СЛОЖНОЙ СИСТЕМЫ Бойдало Михаил Константинович Аспирант кафедры МиПИУ, Университет ИТМО, г. Санкт-Петербург THE DEVELOPMENT OF AN ASSESSMENT MODEL OF STAFF RELIABILITY IN INFORMATION SECURITY AS ASSESSMENT MODEL OF A COMPLEX SISTEM Boidalo M.K., Postgraduate student of ITMO University, Saint-Petersburg АННОТАЦИЯ Целью работы является описание принципов и этапов построения многофакторной модели оценки надежности сотрудника в интересах обеспечения информационной безопасности. В ходе работы рассмотрены основные понятия и особенности сложных систем, принципы построения модели оценки сложной системы. Построен план разработки модели оценки сотрудника, включающий в себя: основные этапы разработки, методы оценки, рекомендации по практическому применению. Данная работа будет полезна при разработке и модернизации системы информационной безопасности организации. ABSTRACT The aim of the research is describe the principles and stages of development of multi-factorial assessment model of staff reliability (AMSR) in information security. The research draws attention to the basic concepts and features of complex systems, principles of development assessment models of such systems. In the study described the plan of AMSR development which includes: the main stages of the development, methods of assessment, recommendation for application. This research will be useful in the development and modernization of the organization’s information security. Ключевые слова: сложные системы; информационная безопасность; персонал. Key words: complex systems; information security; organizational staff. Сначала рассмотрим понятие сложной системы и её особенности. Затем перейдем к принципам построения моделей оценки ложных систем. Завершающим этапом станет построение модели оценки сотрудника как сложной системы с точки зрения обеспечения информационной безопасности. Сложная система – общие понятия и определения. На сегодняшний день нет общепринятого и однозначного понятия сложной системы, и её отличия от большой системы. Некоторые авторы рассматривают сложность как характеристику количества объектов, из которых она состоит, другие как полноту информации о её организации и работе, третьи, считают систему сложной, если она описывается теоретико-вероятностными методами. В рамках работы будем рассматривать сложную систему как составной объект, части которого можно рассматривать как отдельные системы, объединенные в единое целое и связанные заданными отношениями. При таком подходе сложная система представляет собой иерархический объект, который можно делить на подсистемы вплоть до того уровня, на котором подсистемы становятся простыми. В данном случае простыми считаются системы эффективность оценки, которых не растёт при их делении на подсистемы. Очевидно, что уровень, на котором подсистема становится простой, во многом условен, и зависит как от цели и методов оценки, так и от человека разрабатывающего систему оценки. Построение математической модели оценки сложной системы Первым этапом разработки модели является постановка задачи, с последующим анализом и декомпозицией рассматриваемой сложной системы на ряд простых подсистем. На втором этапе, производится построение отдельных моделей оценивающих заданные свойства полученных простых систем, также на этом этапе проводится оценка построенных частных моделей. Третьим этапом становится синтез общей модели оценки, представляю- щей собой совокупность частных моделей оценки. Четвертым является проверка построенной модели, включающая в себя как проверку достоверности оценок, так и её эффективность. Пятый этап – модернизация модели в ходе её практического применения. Особенностью сложной системы является разнородность составляющих её подсистем, как следствие частные модели оценки также могут различаться по типам и методам, как следствие для построения общей оценки нужно разработать математический аппарат, который будет сопрягать оценки подсистем, и вырабатывать общую оценку системы. Как следствие, при разработке частных моделей оценки стоит придерживаться одинаковой формы представления оценки. Учитывая возможность наличия нескольких уровней подсистем, как минимум это требование должно выполняться в рамках пула оценок входящих в одну подсистему следующего (более высокого уровня). Сама модель оценки сложной системы может быть представлена в виде древовидного направленного взвешенного графа. Вершина дерева – общая оценка системы, остальные вершины графа – оценки подсистем, направленность рёбер графа показывает связи между подсистемами, а веса рёбер – степень влияния частной оценки на более общую. Построение математической модели оценки надежности сотрудников в информационной безопасности Целью разрабатываемой модели является выявление сотрудников представляющих собой потенциальную угрозу для информационной безопасности организации. Современная практика [1,2] показывает, что сотрудник тогда является надежным с точки зрения обеспечения информационной безопасности когда: он хорошо мотивирован - т.е. предан своей организации; он хорошо обучен – знает политику информационной безопасности организации и умеет применять её положения на практике; Международный Научный Институт "Educatio" VII (14), 2015 его активность в информационной системе организации находится под контролем. Таким образом, для оценки надежности сотрудника необходимо оценивать следующие три группы факторов или три подсистемы: 1. Уровень организационной приверженности (или лояльности) сотрудника. Чем он выше, тем ниже вероятность того что сотрудник будет сознательно действовать во вред своей организации. 2. Уровень подготовки сотрудника в области защиты информации. 3. Контроль активности сотрудника в информационной системе организации. Рассмотрим их подробнее. Как можно производить оценку организационной приверженности? 1. Можно использовать одну из распространенных моделей оценки организационной приверженности. Например, модель Мейер-Аллен [4], и разработанный на её тест. Такой тест представляет собой опросник из дюжины-двух вопросов, на которые отвечает сотрудник, далее на основе его ответов рассчитывается уровень его лояльности. Такие тесты, в зарубежной практике, широко распространены и хорошо отработаны. Но они учитывают только психологические факторы личного отношения сотрудника и эффективны лишь в отношении сотрудников не знакомых со структурой принципами работы теста. 2. Можно разработать модель, оценивающую сотрудника на основе внешних объективных факторов: рабочий стаж, зарплата, уровень вовлеченности в деятельность организации, количество поощрений и выговоров и т.д. Такая модель позволит оценивать организованную приверженность сотрудника без его участия, и ведома, что снизит недовольство последнего и позволит вести непрерывный мониторинг. Для настройки коэффициентов такой модели можно использовать модель психологическую модель оценки лояльности сотрудника. Более эффективным будет одновременное применение обеих моделей, которые будут дополнять друг друга. Для поддержания высокого уровня подготовки сотрудников в области защиты информации необходимо проводить регулярные учебно-тренировочные занятия в этой области. И регулярный контроль знаний и умений сотрудников. Для этого необходимо разработать учебно-методическую систему подготовки сотрудников, включающую в себя систему оценки результатов. Как показывает международная практика [5], для вредоносных инсайдеров (сотрудников сознательно действующих в ущерб своей организации) характерно следующие особенности: Повышенное число запросов и ИС организации, по сравнению с обычными сотрудниками. Повышенные объемы передачи данных в ИС. Попытки обмануть систему слежения, в частности широкое использование косвенных запросов и поисков. Для контроля активности сотрудников в информационной системе следует отслеживать и анализировать ряд показателей: количество запросов в ИС; объем обмена ПК сотрудника с Интернетом, локальной сетью и съемными носителями; изменение количества запросов и объема обмена во времени. 12 Технические науки Таким образом, общая модель оценки надежности сотрудника будет включать в себя три частных модели первого уровня: модель оценки организационной приверженности, модель оценки подготовки, модель оценки активности в ИС. Модель оценки приверженности будет состоять из двух частных моделей второго уровня: модели оценки субъективных факторов и модели оценки объективных факторов влияющих на организационную приверженность сотрудника. Модель оценки подготовки сотрудника не будет иметь в своем составе частных моделей. С другой стороны, на этапе построения частных моделей, данная модель может разделиться на несколько частных моделей. Модель оценки активности в ИС, являясь цельной моделью, должна включать в себя несколько блоков: блок оценки текущей активности в ИС, блок оценки изменения активности в ИС по сравнению с предыдущим периодом наблюдения и блок оценки попыток обмана системы контроля. Следующим этапом разработки является сопряжение частных моделей для получения общей оценки, для упрощения данного процесса следует, на этапе разработки частных моделей, стандартизовать выходные оценки выдаваемые частными моделями. Расчет весов различных оценок отражающих их вклад в общую оценку сотрудника производится в три этапа: 1. Начальные веса рассчитываются с использованием логических и аналитических методов. 2. Рабочие веса рассчитываются путем уточнения начальных весов с помощью математического аппарата. 3. Текущие веса представляют собой рабочие веса, уточненные на основе наработанного практического опыта применения модели. Заключительным этапом разработки комплексной модели оценки надежности сотрудника является её практическая проверка, по результатам которой производится её настойка и вырабатываются рекомендации по её применению. Дальнейшее применение модели ведется циклически: Сбор информации о персонале – Построение оценок – Принятие решений с использование полученных оценок – Наблюдение за изменением ситуации – затем возврат к началу: сбору информации о персонале для построения оценок. Заключение: в ходе проведенного исследования были рассмотрены общие понятия и принципы разработки модели оценки сложной системы, а затем произведена разработка общей модели оценки надежности сотрудника в интересах обеспечения информационной безопасности, предложены рекомендации по её применению. Надеюсь, данная работа будет полезна при разработке моделей оценки персонала как части системы обеспечения информационной безопасности организации. Список литературы: 1. Бойдало М.К. Роль персонала организации в обеспечении информационной безопасности // Материалы X Международной научно-практической конференции «Фундаментальные и прикладные исследования в современном мире». – 2015. – С. 116-118. 2. Бойдало М.К., Жигулин Г.П. Метод и модель оценки профессионального соответствия персонала в вопросах обеспечения информационной безопасности // Научно-технический вестник Поволжья. 2014. - №3. - С. 66-71. Международный Научный Институт "Educatio" VII (14), 2015 3. Дулов В.Г., Цибаров В.А. Концепция современного естествознания [Электронный ресурс] // СПБГУ 19.12.2002.URL: http://www. math. spbu. Ru / ru / Archive / Courses / tsib /dul_tsib / (дата обращения: 13.08.2015). 4. Хачатурова С.М. Электронный учебник по дисциплине "Математические модели системного анализа" [Электронный ресурс] // НГТУ. URL: http://ermak.cs.nstu.ru/mmsa/ (дата обращения: 13.08.2015). 13 Технические науки 5. Caputo D. D., Stephens G., Stephenson B., Kim M. Human Behavior, Insider Threat, and Awareness: An Empirical Study of Insider Threat Behavior. // Research Report No. 16. - Institute for Information Infrastructure Protection, July 2009. - 5 pages. 6. Meyer J. P., Stanley D. J., Herscovitch L., Topolnytsky L. Affective, continuance, and normative commitment to the organization: A meta-analysis of antecedents, correlates, and consequences. // Journal of Vocational Behavior. - 2002. – №61.- P. 20-52. ПРИМЕНЕНИЕ ЭКСЕРГЕТИЧЕСКОГО АНАЛИЗА ДЛЯ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ УПРАВЛЕНИЯ НЕФТЕПЕРЕРАБАТЫВАЮЩИМ ПРЕДПРИЯТИЕМ Шумихин Александр Георгиевич Доктор технических наук, профессор, заведующий кафедрой Автоматизация технологических процессов Пермского национального исследовательского политехнического университета, академик Международной академии системных исследований, член-корреспондент Академии инженерных наук РФ, Почетный работник ВПО РФ, г. Пермь Буракова Алёна Евгеньевна Аспирант кафедры АТП ХТФ Пермского национального исследовательского политехнического университета, г. Пермь THE APPLICATION OF EXERGY ANALYSIS TO IMPROVE EFFICIENCY OF TECHNOLOGICAL PROCESS MANAGEMENT IN REFINERIES Shumikhin Alexander, Doctor of Technical Sciences, Professor, Chair of Department of Automation of technological processes Perm National Research Polytechnic University, academician of the International Academy of Systems Research, a member of the Academy of Engineering Sciences, Honored Worker of the Russian Federation VPO, Perm Burakova Alena, Postgraduate, Perm National Research Polytechnic University, Perm АННОТАЦИЯ Управление качеством на предприятии ставит задачу повышения эффективности функционирования производства. Значительную роль в обеспечении эффективности предприятия играет применение энергосберегающих технологий. В статье описывается эксергетический метод термодинамического анализа и возможности его применения для энерго-ресурсосбережения промышленных предприятий. АBSTRACT Quality management in the company set a task to improve the efficiency of production process. Energy-saving technologies do much to ensure effectiveness of the company. The paper discusses the exergy approach to thermodynamic analysis and its application to energy-saving in industrial enterprises. Ключевые слова: Нефтепереработка; эффективность управления; качество; энергоресурсосбережение; эксергетический анализ. Keywords: oil refining; management effectiveness; quality; energy resource-saving; exergy analysis. Задачи энергосбережения с каждым годом становятся более значимыми и занимают одну из главных ролей современных исследований. Нефтепереработка и химические технологии относятся к энергоемким отраслям промышленности. Поэтому актуально рассмотреть энергосбережение как один из путей повышения эффективности функционирования и снижения себестоимости производимой продукции. Рассмотрим для управления качеством на предприятии термоэкономический анализ. Основным положением которого является рассмотрение применимости любой энергии не только с количественной точки зрения, но и тем, в какой степени она может быть использована в данных условиях, то есть, превращена в другие виды энергии. Такое свойство превратимой энергии системы получило название эксергии. Одно из определений эксергии предложил профессор Московского энергетического института В.М. Бродянский. Эксергия – свойство термодинамической системы или потока энергии, характеризуемое количеством работы, которое может быть получено внешним приемником энергии при обратимом воздействии с окружающей средой до установления полного равновесия [2]. Таким образом, количественная характеристика энергии любого вида и оценка ее качественной стороны описывается понятием эксергии. Наряду с экономической выгодой, энергосбережение позволяет уменьшить масштабы сброса теплоты в окружающую среду, что приводит к снижению нагрузки на экологию [3]. Она определяет пригодность, превращаемость энергии для технического использования в любых заданных условиях, позволяет дать объективную оценку любого вида энергетических ресурсов, в том числе и вторичных. Использование эксергии отходов производства, в т.ч. энергетических, не только уменьшает расход соответствующего энергетического сырья, но и приводит к снижению капиталовложений в добычу и переработку этого сырья. Эксергия это некоторая универсальная мера энергетических ресурсов. Любой технологический процесс в химико-технологических системах (ХТС), в том числе в нефтеперерабатывающих производствах, от поступления сырья до конечных потребителей происходит с постепенным снижением или исчезновением эксергии при передаче от носителя к носителю. Степень приближения данного процесса к идеальному рассчитывается как отношение эксергии, отводимой из системы, к подведенной эксергии. Эксергети-