- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Признаки чс:
недостаток резерва
недостаток ресурса
недостаток времени для принятия решения
недостаток информации для принятия решения.
Главное в ЧС – это сохранение жизни людей и нормальное функционирование КСЗИ.
Все ЧС имеют 3 классически периода:
угрожаемый
нейтрализации или предотвращения
восстановление функционирования КСЗИ
Данные периоды лежат в основе планов функционирования КСЗИ в ЧС. Все другие службы разрабатывают такие же планы.
Основные методы борьбы с ЧС влючают в себя 2 вида:
на этапе заблаговременной подготовки функционирования КСЗИ
прогнозирование потерь
расчеты формирования резева для нейтрализации потерь
поддерание ресурсов в неободимой степени готовности
непосредственная подготовка
метод задействования (частичное или полное задействование) подготовленного резерва для предотвращения ЧС
Основным мероприятием по предлотвращению ЧС является резервирование сил и средств.
Виды резервирования:
организационное резервирование (сил)
техническое
информационное резервирование (резервные копии)
методы резервирования:
полное дублирование
инкрементальное (добавочное)
диференциальное
Полное резервирование затрагивает всю КСЗИ и все защищаемые докумнеты.
Инкрементальное – копирование только тех файлов, которые были изменены.
Диференциальное предусматривает резервирование каждого документа, файла, которые были изменены после полного резервированиия.
Оптимальной структурой управления КСЗИ считается штабная, то есть руководитель КСЗИ (начальник службы ИБ) и все его структурные подразделения образуютт штаб управления КСЗИ. Руководители структурных подразделений и специалисты по ЗИ структурных подразделений оперативно подчинены штабу (в рамках выполнения функциальных задач по ЗИ).
Все ситуации, возникающие в процессе функционирования можно разделить на 2 группы: штатные и нештатные;
Среди нештатных ситуаций наиболее опасными являются аварийные и потенциально аварийные. Любая из этих ситуаций требует принятия ответных мер, направленных на:
сокращение комплекса факторов, влияющих на возникновение чрезвычайной ситуации;
защиту людских, информационных, материальных и других ресурсов от негативного воздействия, нанесения ущерба и уничтожения;
обеспечение работы объекта во время и после реализации нештатной ситуации.
Подсистема управления КСЗИ, обеспечивающая её функционирование в условиях ЧС имеет 4 режима:
режим повседневной деятельности;
режим повышенной готовности;
чрезвычайный режим;
постчрезвычайный режим.
Для решения задач предупреждения, нейтрализаций и ликвидации последствий ЧС на предприятии создаются специальные структуры (кризисные группы, штабы, службы обеспечения защиты в условиях ЧС и т.п.). Их задачи:
выявление тенденций развития ЧС;
оценка масштабов её негативного воздействия и последствий;
расчет времени и ресурсов, необходимых для локализации и ликвидации последствий;
разработка планов, действий.
Факторы, влияющие на принятие решений по комплексной ЗИ в условиях чрезвычайной ситуации.
Основные причины запаздывания ответных действий.
1. Инерционность информационной системы, объясняемая необходимостью затрат времени на наблюдение, обработку и интерпретацию результатов наблюдения, передачу полученной информации соответствующим руководителям. Инерционность является также следствием затрат времени со стороны руководства на обмен информацией друг с другом и выработку общей позиции.
2. Необходимость проверки и подтверждения досто- верности информации о возникновении ЧС.
Безусловно, это необходимо, но даже при абсолютно достоверной информации некоторые руководители будут утверждать, что нет абсолютной уверенности в реальности возникновения ЧС, устойчивом и угрожающем характере ее развития. Они будут выступать за то, чтобы еще немного подождать и посмотреть, не отпадет ли угроза сама собой (Чернобыль).
3. Психологические особенности человека.
Некоторые руководители считают, что признание существования ЧС отразится на их репутации либо приведет к потере занимаемого положения. Другие руководители, даже если убеждены в реальности ЧС, будут тянуть время, чтобы выработать тактику, для реабилитации своего положения.
Эти причины вызывают значительное запаздывание адекватной реакции руководства на появление ЧС и могут привести к резкому увеличению общего ущерба, а в ряде случаев способны свести на нет все потенциальные возможности противоаварийных действий.
Таким образом, чтобы не потерять и полностью использовать имеющиеся возможности и преимущества, необходимо не только совершенствовать работу подсистемы противоаварийного упреждающего планирования, но и повышать готовность руководителей к работе в условиях высокой степени неопределенности.
Чрезвычайный режим характеризуется обстоятельствами, совокупность которых определяется как чрезвычайная ситуация.
Задачами системы управления ЧС в этом режиме являются осуществление оперативных действий по защите объектов различного типа.
В отличие от обычных систем планирования и управления, в том числе систем стратегического планирования, которые призваны рассматривать стратегические задачи в течение достаточно долгого периода, системы управления в условиях ЧС должны действовать в реальном масштабе времени. Стратегические задачи должны решаться в СУЧС на ограниченном интервале времени оперативном и непрерывно.
Режим ликвидации последствий ЧС характеризуется отсутствием активных поражающих фактов ЧС и необходимостью проведения мероприятий по восстановлению нормативного функционирования объекта.
Задачей системы управления ЧС в этом режиме является оперативное и долгосрочное планирование действий по смягчению или полной ликвидации последствий ЧС.
Принятие и реализация решения — сложные процессы управленческой деятельности, в которых, как в никаких других, от руководства органов управления требуются компетентность, высокая оперативная подготовка, знания и навыки использования техники, умение ставить цели и достигать их, брать ответственность на себя. Решения в условиях ЧС принимаются в различной оперативной обстановке, включая кризисную, и в крайне ограниченное время. Однако оно должно быть принято своевременно, быть максимально обоснованным и обеспечивать наиболее полное и эффективное использование имеющихся возможностей.
Для этого требуется четкое уяснение руководством целей и задач операции, всесторонняя и объективная оценка обстановки, компетентность. Говоря о принятии решений, следует иметь в виду следующие основные составляющие этого сложного процесса: сбор и подготовка исходящих данных, построение модели ЧС, формулировка (принятие) решения руководителем, конкретизация и детализация решения в плане операции, доведение данного решения до исполнителей, а также организация, оперативное управление и контроль за его реализацией.