- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Информационная поддержка принятых решений
При управлении в условиях ЧС не существует затрат, не связанных с использованием информации. Информация, информационный фонд в условиях ЧС становятся основным ресурсам эффективного принятия решений, направленных на ликвидацию ЧС.
Как правило, в условиях ЧС основной проблемой в принятии и реализации эффективных управленческих решений является недостаток не ресурсов и капитала, а информации, необходимой для использования этих ресурсов и капитала с наибольшим успехом.
Информация о возможности возникновения ЧС и тенденциях ее развития поступает в систему управления в ходе изучения обстановки.
Степень предсказуемости ЧС очень невелика: к моменту получения информации, достаточной для выработки эффективных ответных мер, образуется дефицит времени для их реализации. Это приводит к очевидному парадоксу в условиях ЧС: ожидая получения достоверной и достаточной для принятия решений информацию, не может предпринять продуманные меры в целях разрешения возникающих проблем;
Поэтому на ранних стадиях потенциальной опасности ЧС ответные меры, очевидно, должны быть общего характера, направленными на увеличение стратегической гибкости организации. По мере поступления конкретной,
детализированной информации должны быть конкретизированы и ответные меры, конечной целью которых является либо устранение угрозы возникновения ЧС, либо использование создавшихся возможностей для ликвидации ЧС и ее последствий.
ЧС в контексте проблем ЗИ - комплекс событий, проявление и протекание которых могут провести к нарушению нормального функционирования КСЗИ, либо создать условия для проявления очень опасных дестабилизирующих воздействий, влияющих на защищенность информации.
Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
Для решения задач предупреждения, нейтрализации (локализации) и ликвидации последствий ЧС на предприятии создаются специальные структуры. Среди них выделяют кризисные группы, штабы, службы обеспечения защиты в условиях ЧС, оперативные бригады и т. п. Круг лиц. входящих в состав данных групп, определяется с учетом направленности деятельности предприятия, наличия или отсутствия филиалов, географией размещения служебных, производственных, складских, транспортных помещений и других факторов. В числе постоянных представителей подобных структур выступают руководители предприятия и службы безопасности, руководители функциональных подразделений, юрист, специалист финансового отдела, специально выделенные сотрудники функциональных подразделений.
В обязанности рассматриваемой структуры (штаб, кризисная группа)входит:
выявление тенденций развития ЧС;
оценка масштабов ее негативного воздействия и последствий;
расчет времени и ресурсов, необходимых для локализации и ликвидации, определение приоритетов при разработке и осуществлении основных мероприятий;
— сбор, обработка и предоставление необходимой информации для руководителей, принимающих решения в условиях протекания ЧС, предупреждение о внезапных изменениях в зонах действия ЧС.
При разработке мероприятий по подготовке к действиям в условиях ЧС необходимо учитывать, что в период протекания подобных ситуаций психологические нагрузки возрастают, поведенческие и эмоциональные реакции человека меняются, может нарушаться координация движений, понижается внимание и восприятие окружающей действительности. Поэтому необходимо проводить различные тренинги, комплексы учебных занятий, которые позволили бы подготовить персонал и повысить эффективность его работы, выражающуюся в принятии четких адекватных мер в сложившейся ситуации.
При этом, чрезвычайные ситуации характеризуются следующими особыми признаками, влияющими на защиту информации:
Недостаток резервов;
Недостаток ресурсов;
Недостаток времени на принятие решение;
Недостаток информации для принятия решения.
Главное в чрезвычайных ситуациях – сохранение жизни людей и нормального функционирования КСЗИ.
Все чрезвычайные ситуации имеют 3 классических периода:
Угрожаемый период;
Период предотвращения или нейтрализации в ЧС;
Период восстановления функционирования КСЗИ
Данные периоды лежат в основе разработки плана информационной безопасности (плана функционирования КСЗИ) в ЧС.
Основные методы борьбы с ЧС включают в себя 2 вида:
На этапе заблаговременной подготовки функционирования КСЗИ:
Прогнозирование ожидаемых потерь;
Расчеты формирования резерва, необходимого для нейтрализации потерь;
Поддержание ресурсов в необходимой степени готовности.
В ходе непосредственной подготовки используется метод задействования (частичный или полный) подготовленного резерва для предотвращения ЧС.
Основным мероприятием по предотвращении ЧС является резервирование сил и средств.
Виды резервирования:
Организационное (резервирование сил);
Техническое резервирование;
Информационное резервирование (создание резервных копий защищаемых документов).
При этом используются следующие методы резервирования:
Полное дублирование сил и средств КСЗИ;
Инкрементальное (добавочное);
Дифференциальное резервирование.
Полное резервирование – затрагивает всю КСЗИ и все защищаемые документы, при этом еженедельное, ежемесячное, ежеквартальное резервирование должно подразумевать полное резервирование.
Инкрементальное резервирование подразумевает копирование только тех документов (файлов). Которые были изменены.
Дифференциальное резервирование предусматривает резервирование каждого документа файла. Которые были изменены после полного резервирования.
Оптимальной структурой управления КСЗИ считается – штабная структура, т.е. руководитель КСЗИ (начальник службы информационной безопасности) и все его структурные подразделения образуют так называемый штаб управления КСЗИ. Руководители структурных подразделений и специалисты по защите информации структурных подразделений предприятия оперативно подчинены штабу (в рамках выполнения функциональных задач только по информационной безопасности).