Информационная безопасность

Вопрос 3. Этапы аналитической работы

Ведение аналитической работы возможно только при наличии необходимой информации, поэтому в первую очередь нужно определить, какая именно информация будет необходима аналитикам для работы, где можно ее получить и какой из источников можно при этом использовать. Как правило, получение информации не относится специалистами непосредственно к аналитической работе, тем не менее, определение круга исходной информации, а также мест и способов ее получения должно решаться непосредственно сотрудниками ИАС.

Интерпретация информации является первым этапом предварительного анализа. Под интерпретацией подразумевается выявление истинного значения той или иной информации. В первую очередь это относится к вербальной информации, так как очень часто то или иное высказывание бывает понято превратно. Это происходит, когда фраза вырвана из контекста либо неправильно понята иностранная речь, интонация, жесты, сленг и т. п. При возникновении такой ситуации в помощь аналитикам целесообразно пригласить знающего специалиста, который сможет правильно интерпретировать то или иное сообщение.

В интерпретации нуждаются не только слова, но и действия. Зачастую факт, внешне подозрительный, на самом деле может иметь абсолютно положительный характер, а многие по сути угрожающие факты могут иногда выглядеть как неопасные.

Язык, используемый для описания информации, может допускать неоднозначность ее понимания. Это создает определенные трудности при интерпретации вербальной информации, но в этом случае истинный смысл можно понять из контекста. Информация, которая хранится в персональных компьютерах, как правило, лишена контекста, поэтому ошибочная интерпретация становится гораздо более вероятной. Западные специалисты определяют цену информации через те действия, которые могут быть предприняты в результате знания этой информации.

Вся информация подразделяется на факты, личные мнения и аналитически обработанные данные. Смешивание или неправильное определение этих различных по своей сути видов информации может приводить к ошибкам в интерпретации и, как следствие, к принятию неправильных решений. Следовательно, процесс интерпретации требует максимальной осторожности и тщательности. В каждом конкретном случае необходимо выявить истинный смысл поступившей информации. Здесь аналитики сталкиваются с такой проблемой, как выделение не относящейся к делу информации.

Выделение посторонней информации составляет следующий этап предварительного анализа. Этот процесс является одним из самых Ложных и ответственных моментов во всей процедуре. Избыток ""формации, так же как и ее недостаток, представляет собой серьезную проблему и затрудняет проведение аналитической работы. Тактика выделения нескольких ключевых деталей гораздо более эффективна, чем разбрасывание между многими разрозненными данными. Вместе с тем именно на этом этапе существует опасность отбросить важную информацию. Как правило, это может произойти в случае неправильной интерпретации сведений на предыдущем этапе. Кроме того, аналитики могут стремиться сохранить не относящуюся напрямую к делу информацию в надежде, что она может пригодиться в будущем. Такая информация должна заноситься в банк данных ИАС таким образом, чтобы впоследствии ее можно было легко найти. С созданием такого информационного фонда и его постоянным пополнением задача поиска и сбора исходной информации для анализа будет значительно облегчена. Тем не менее избыток информации представляет собой серьезную проблему, так как значительно замедляет ведение аналитической работы, старение же и обесценивание информации может происходить очень быстро. Кроме того, избыток не относящейся к делу информации является для руководителя ИАС сигналом того, что поиск и сбор информации организованы неэффективно.

Оценка информации составляет следующий этап. Под оценкой понимается метод ранжирования источников информации, самой информации и способов ее получения. Как правило, пользуются системой оценок информации, при которой аналитик может выразить свою точку зрения относительно надежности и достоверности полученных сведений, хотя очевидным недостатком данной системы будет определенная субъективность оценок. Например:

Оценка источника:

• надежный источник;

• обычно надежный источник;

• довольно надежный источник;

• не всегда надежный источник;

• ненадежный источник;

• источник неустановленной надежности. Оценка информации:

• подтвержденная другими фактами;

• вероятно правдивая (75 %);

• возможно правдивая (50 %);

• сомнительная (25 %);

• неправдоподобная;

• достоверность не поддается определению.

Оценка способа получения информации источником:

• получил информацию сам (сам видел, слышал и т. п.);

• получил информацию через постоянный источник (через информатора, открытые источники и т. п.);

• получил информацию через разовый источник (случайно подслушанный разговор, слухи и т. п.).

На этапе оценки необходимо установить, насколько информация может соответствовать истине. При этом нужно учитывать, что можно получить не соответствующую истине информацию следующих типов:

• дезинформацию, доведенную до сведения источника;

• преднамеренно или непреднамеренно искаженную источником;

• произвольно или непроизвольно измененную в ходе передачи. При намеренной дезинформации применяется заведомая ложь, полуправда, а также правдивые сведения, которые в данном контексте подтолкнут воспринимающих информацию лиц к ложным выводам.

Искажения, возникающие в процессе передачи исходных данных, могут происходить по многим причинам:

• передача только части сообщения;

• пересказ услышанного своими словами;

• факты, искаженные чьим-либо субъективным восприятием.

Для своевременного выявления искаженной информации, а также для успешной борьбы с вероятной дезинформацией необходимо различать факты и мнения, учитывать субъективные характеристики источника и его предполагаемое отношение к выдаваемому сообщению. Следует четко осознавать, способен ли источник по своему положению иметь доступ к сообщаемым фактам. В качестве страховочных мер всегда нужно иметь дублирующие источники, использовать дублирующие каналы связи и стараться исключать все лишние промежуточные звенья передачи информации. Кроме того, необходимо помнить, что особенно легко воспринимается та дезинформация, которая хорошо соответствует принятой ранее версии, т. е. та, которую предполагают или желают получить.

Следующим этапом является построение предварительных версии, объясняющих место основных полученных фактов в цепи событий. Первым шагом является составление списка сведений, приготовленных для анализа. Это необходимо для дальнейшего ранжирования их по степени важности, кроме того, это является некой гарантией того, что сведения не выпадут из поля зрения и о них не забудут. Далее необходимо выделить ключевые моменты, отделить их от менее важных, не играющих главной роли в данной ситуации. Полученные сведения должны быть четко классифицированы по степени достоверности источника, самих сведений и способа их получения. Самые свежие и полные сведения должны рассматриваться в первую очередь. В перечне сведений, приготовленных для анализа, наиболее важные сведения специально помечаются. Материалы с пометками «источник неустановленной надежности» и «достоверность не поддается определению» откладываются и не участвуют в анализе без крайней необходимости.

Затем необходимо выявить все возможные гипотезы, которые могут объяснять ключевые события, и, расположив их по степени вероятности, поочередно проверять на стыкуемость со всеми данными. Если обнаружено значительное расхождение какой-либо предварительной гипотезы с полученными сведениями, причем последние имеют достаточно высокие оценки достоверности, то следует переходить к следующей гипотезе. Таким образом, выбираются наиболее вероятные предположения. На этом этапе возникает одна из самых серьезных проблем аналитической работы – противоречия в сведениях. Для ее преодоления необходимо сравнить оценки информации и источника, даты получения спорных сведений. Решающее же значение имеет интуиция, знания и опыт самого сотрудника, проводящего анализ. Конфликты в информации должны быть устранены в процессе анализа, для их разрешения собирается дополнительная информация, что соответствует следующему этапу аналитической работы. Если решение, которое будет принято на основе аналитически обработанной информации, является очень важным и нет возможности получить дополнительную информацию для устранения противоречий, то окончательный выбор возлагается на лиц, ответственных за принятие решения. Тем не менее общая доля таких ситуаций должна сводиться к минимуму, так как это свидетельствует о неудовлетворительной работе ИАС.

Следующим этапом является определение потребности в дополнительной уточняющей информации, а также выяснение, какая именно информация необходима и почему. На этом этапе выявляются пробелы в информации. Часть пробелов может быть быстро установлена, так как является результатом недостаточного исследования, другая же часть пробелов в информации может и не быть обнаружена аналитиком, потому что упущена на этапе сбора самих сведений. Очевидно, что второй вид пробелов в информации является гораздо более опасным.

Необходимо четко различать понятия «неполная информация» и «пробел в информации». Неполная информация означает отсутствие не имеющих особой важности сведений, что является естественным, так как никогда нельзя получить абсолютно все сведения. Более того, такая информация была бы избыточной и осложнила бы анализ. Пробел же в информации подразумевает отсутствие сведений, являющихся ключевыми в данной ситуации или необходимыми для устранения противоречий. Такие сведения крайне важны для проведения анализа.

Выявив пробелы в информации, нужно определить их важность для дальнейшего анализа. Нельзя до бесконечности откладывать составление аналитического отчета под предлогом того, что в информации выявлены пробелы. На определенном этапе следует признать, что для решения задачи собрано достаточно данных. Кроме того, имеют значение факторы времени и денег, потому что решение проблемы ограничено тем и другим. Сотрудники ИАС должны стремиться к решению поставленной задачи имеющимися средствами и в разумные сроки.

На основе выполнения предыдущих этапов приступают к подготовке аналитических отчетов по определенному вопросу, выработке конкретных выводов и предложений. Подготовка отчетов является основной обязанностью аналитика, а готовый отчет представляет собой результат функционирования системы аналитической работы. Отчеты могут быть представлены в различных формах. Наиболее часто отчет составляется в письменном виде, но он также может быть устным, иллюстрируемым графиками, таблицами, диаграммами и т. п. Если сроки жестко ограничены, отчет излагается устно, в форме вопросов и ответов.

В зарубежной литературе выделяют три основных вида аналитических отчетов. Первый вид называют тактическим (оперативным) отчетом. К этому типу относятся экстренные отчеты по какому-либо вопросу небольшого объема, которые необходимы для срочного принятия решения. При этом аналитика редко знакомят с причиной или целью данного задания. Такие отчеты составляются по разовым направлениям аналитической работы. Второй вид составляют стратегические отчеты. Они содержат более полную информацию и менее ограничены сроками. В них включается подробная предыстория данной проблемы и прогноз ее дальнейшего развития, причем для построения реалистичной гипотезы анализируется вся предшествующая информация по данной теме. Отчеты такого типа соответствуют постоянным направлениям аналитической работы. Третий вид представлен периодическими отчетами, основной отличительной особенностью которых является то, что они готовятся по графику. Интервалы между сроками предоставления составляют дни, недели или месяцы. Как правило, такой вид отчетов готовится по проблемам, являющимся объектом постоянного пристального внимания со стороны ИАС фирмы. Этот вид может соответствовать как периодическим, так и постоянным направлениям аналитической работы.

Все письменные отчеты должны содержать глубокий анализ и быть представлены в регламентированной (типовой, унифицированной) форме. Потребителями аналитических отчетов являются ответственные за планирование и принятие решений лица, которые вправе предъявлять определенные требования к содержанию и оформлению отчетов. Аналитический отчет должен быть четко, логично и грамотно составлен. Кроме того, отчет должен абсолютно соответствовать месту сотрудника – потребителя информации в разрешительной системе доступа к конфиденциальной информации: по степени конфиденциальности используемых в отчете сведений, профилю профессиональных знаний сотрудника и деловой необходимости информации для конкретной работы. Нужно учитывать также и то, что внешний вид отчета обязательно будет влиять на восприятие содержащейся в нем информации.

За рубежом используется, как правило, следующая форма изложения данных аналитического отчета:

1) Заключение. Здесь должны содержаться ответы на вопросы, какова степень важности полученной информации, ее значение для принятия конкретных решений, идет ли речь о каких-либо угрозах, подозрениях, выявленных негативных факторах и т. п., какое отношение имеет предмет отчета к другим областям аналитической работы. Факты и сведения, на основе которых получены результаты анализа, не должны смешиваться с самими результатами.

2) Рекомендации. Должны быть указаны конкретные направления дальнейших действий службы безопасности и других структурных подразделений предприятия для улучшения системы безопасности, предотвращения утраты информации, принятия наиболее эффективных решений и т. п.

3) Обобщение информации. Изложение самой существенной информации без излишней детализации.

4) Источники и надежность информации. Должны быть указаны предполагаемые оценки надежности данных и источника на момент написания отчета, так как для принятия решений необходимо оценить надежность материалов, являющихся их базой.

5) Основные и альтернативные гипотезы. Обязательно должны указываться рассмотренные в ходе анализа наиболее вероятные гипотезы, что помогает принимать более взвешенные и адекватные решения, а также позволяет еще раз оценить правильность выбранной гипотезы.

6) Недостающая информация. Четко указывается, какая именно дополнительная информация необходима для подтверждения окончательной гипотезы и принятия решения. Описанная структурная схема проведения аналитического исследования позволяет предоставить в распоряжение пользователя, принимающего решение, структурированный массив ценной информации, отражающей с определенной степенью достоверности сложившуюся ситуацию с обеспечением безопасности информационных ресурсов фирмы.

Вопрос 4. Методы аналитической работы

Основным назначением всех аналитических методов является обработка полученных сведений, установление взаимосвязи между фактами, выявление значения этих связей и выработка конкретных предложений на основе достоверной и полной, аналитически обработанной информации. Существует широкий спектр специальных методов анализа: графические, табличные, матричные и т. п., например, диаграммы связи и матрицы участников, схемы потоков данных, временные графики, графики анализа визуальных наблюдений VIA (visual investigative analysis) и графики оценки результатов PERT (program evaluation review technique). Тем не менее следует отметить, что у каждого аналитика есть свой собственный метод анализа, который может быть как комбинацией вышеперечисленных методов, так и сугубо индивидуальным, уникальным методом аналитической работы.

С помощью диаграмм связей выявляется наличие связи между субъектами, вовлеченными в конкретную ситуацию, подвергающуюся анализу, а также области общения, соприкосновения этих субъектов. На диаграмме связей отмечают как наиболее прочные, так и вспомогательные связи между субъектами. Анализируются все связи без исключения, так как в ходе развития событий и получения дополнительной информации вспомогательные связи могут выступить на первый план. Для большей наглядности следует также указывать на диаграмме связи должностей (для физических лиц) или род деятельности (для юридических лиц).

Матрицы связей отражают частоту взаимодействия субъектов за определенный период времени. Такой метод анализа дополняет диаграммы связей, позволяет оценить характер взаимодействий между субъектами через частоту таких взаимодействий. При использовании этого метода анализа до его начала необходимо отделить маловажные и не имеющие отношения к делу, пусть даже частые, взаимодействия субъектов.

Схемы потоков информации позволяют оценить то, каким образом происходят события. С их помощью можно анализировать пути движения информации среди субъектов анализа, т. е. оценивать положение каждого субъекта в общей группе и выявлять неустановленные связи между субъектами, используя определенную, специально подготовленную информацию как индикатор. Метод применим для отображения, например, физических процессов, взаимодействия юридических и физических лиц.

Временные графики используются для регистрации событий. Такая форма представления данных помогает не только эффективнее анализировать события, но и более рационально планировать меры противодействия.

Графики анализа визуальных наблюдений VIA являются составной частью графиков оценки результатов PERT. Оба графика составляются по принципу разбивки сложной операции на составные элементы. Такой принцип позволяет наглядно отражать ход событий. В зарубежных странах графики VIA и PERT применяются для анализа тяжких преступлений и террористической деятельности, для повышения эффективности работы предприятий, а также аналитиками служб безопасности для нужд ИАС фирм. В обоих графиках принята одна и та же система символов: события представлены треугольниками и кругами, причем треугольники отмечают начало и конец события, а также наиболее важные моменты операции. Отличием этих типов графиков является то, что график VIA представляет собой схему визуальных наблюдений в процессе одиночного события, а график PERT отражает общий ход событий, является более общим методом анализа. Графики VIA и PERT могут иметь различную степень детализации событий. С их помощью легко вычленить определенную схему в действиях субъектов, что значительно облегчит процесс построения версий. Графики PERT широко применяются при таком широко распространенном методе анализа, как изучение реальных дел с целью поиска аналогий. Такой метод позволяет определить возможные сценарии, по которым события реально развивались в предшествующий период. Основная идея этого метода состоит в том, что все события рано или поздно повторяются в силу схожести целей, средств и обстоятельств. Разбор и анализ ситуаций, имевших место в прошлом, позволяет на раннем этапе выявить подлинный характер происходящего за счет совпадения с типичными схемами.

В настоящее время в работе ИАС широко используются возможности современной вычислительной техники. Это относится не только к созданию баз данных по тематике аналитической работы, но и непосредственно к процессу анализа. Статистический анализ в подавляющем большинстве случаев не выполняется вручную, для этого должны применяться специальные пакеты программ статистической обработки данных, предназначенные для аналитической работы. Такие программы используются зарубежными специалистами при анализе уже достаточно длительное время и с большим успехом.

В последнее время для аналитической работы все чаще применяются так называемые экспертные системы (expert systems), которые, являясь практическим приложением искусственного интеллекта, оказывают огромную помощь при анализе, а в ряде случаев могут даже заменить собой аналитика. Они представляют собой класс компьютерных программ, которые выдают советы, проводят анализ, выполняют классификацию, дают консультации и ставят диагноз. Экспертные системы не только выполняют все эти функции, но и на каждом шаге могут объяснить аналитику причину той или иной рекомендации и последовательность анализа. Широкое использование таких систем в зарубежных странах объясняется тем фактом, что аналитические задачи, как и все задачи, требующие дедуктивных рассуждений, решаются компьютером не хуже, чем человеком, а в ряде случаев – быстрее и надежнее. В отличие от человека-аналитика у экспертных систем нет предубеждений, они не делают поспешных выводов, не поддаются влиянию внешних факторов. Такие системы работают систематизировано, рассматривая все детали, выбирая наилучшую альтернативу из всех возможных. Несомненным преимуществом экспертных систем является и то, что, будучи введены в машину один раз, знания сохраняются навсегда, как бы обширны они ни были.

Теоретически экспертные системы по мере своего развития и расширения проходят три стадии:

1) ассистент – система освобождает человека-аналитика от рутинной и однообразной аналитической работы, позволяя заниматься только самыми важными и ответственными вопросами;

2) коллега – система участвует в решении проблемы на равных с человеком, общение с системой представляет собой постоянный диалог;

3) эксперт – уровень знаний системы во много раз превосходит уровень знаний человека, так как знания системы представляют собой постоянно пополняемую совокупность знаний многих ведущих экспертов в этой области.

Реально в настоящее время применяются экспертные системы первого уровня – облегчающие работу аналитика. Такие системы накапливают знания и опыт наиболее квалифицированных экспертов-аналитиков. С помощью этих знаний пользователь с обычной квалификацией может решать различные аналитические задачи столь же успешно, как и сами эксперты. Это происходит за счет того, что система в своей работе воспроизводит ту же схему рассуждений, что и человек-эксперт при анализе проблемы.

Второй уровень экспертных систем пока не достигнут в силу больших практических трудностей.

Третий уровень экспертных систем пока существует лишь в проекте.

Экспертные системы позволяют копировать и распространять знания, делая уникальный опыт нескольких экспертов-аналитиков доступным широким кругам рядовых специалистов. То есть такие системы имитируют деятельность человека-эксперта. Однако эти системы имеют существенные недостатки – большинство экспертных систем не вполне пригодны для применения конечным пользователем, они рассчитаны в первую очередь на использование теми экспертами, которые создавали их базы знаний. Пользователь экспертной системы не только должен иметь определенные навыки работы с такими системами, но и представлять себе логику ее построения. К недостаткам можно отнести и то, что приведение знаний, полученных от эксперта, к виду, обеспечивающему их эффективную машинную реализацию, все еще остается достаточно сложной задачей. Экспертные системы еще не способны самообучаться, не обладают интуицией и здравым смыслом, которые использует человек-аналитик при отсутствии формальных методов решения или аналогов таких задач.

Эти недостатки планируется устранить в экспертных системах второго поколения (система-коллега). Они смогут не просто повторять ход рассуждений экспертов, а стать полноценными помощниками и советчиками для аналитика. Такие экспертные системы будут проводить анализ нецифровых данных, выдвигать и отбрасывать гипотезы, оценивать достоверность фактов, самостоятельно пополнять свои знания, контролировать их непротиворечивость, делать заключения на основе прецедентов и, может быть, даже порождать решения новых, ранее не рассматривавшихся задач.

Вывод: в распоряжении сотрудников ИАС предприятия находится множество методов ведения аналитической работы, среди которых они могут выбрать наиболее эффективный с их точки зрения метод, либо пользоваться своим собственным, уникальным методом. В работу ИАС предприятий также должны широко внедряться современные компьютерные технологии как в форме современных баз данных и новейших статистических программ, так и в форме практического применения искусственного интеллекта – экспертных систем.