- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
15. Назначение, структура и содержание управления ксзи
15.1 Понятие, сущность и цели управления ксзи
Теория и практика обеспечения эффективности функционирования сложных организованных систем, к которым вне всяких сомнений относится и КСЗИ, немыслимы без применения современных технологий управления.
Существует ряд определений управления (как процесса).
Управление – элемент, функция организованных систем различной природы (биологических, социальных, технических), обеспечивающая сохранение их определенной структуры, поддержание режима деятельности, реализацию программы, целей деятельности.
Управление – процесс осуществления информационных воздействий на объекты управления для формирования их целенаправленного поведения.
Существуют и другие определения, зависящие от того, в какой сфере осуществляется управление. Вместе с тем, где бы ни протекали процессы управления – при управлении КСЗИ, в управляющих устройствах автоматических систем, в нервной системе человека, в экономических и других структурах общества, они подчиняются единым законам. Эти наиболее общие законы управления системами различной природы изучает наука об управлении – кибернетика.
С позиций кибернетики управление определяется как функция системы управления, обеспечивающая организацию целенаправленной деятельности управляемой системы.
Таким образом, смысл и цель управления в КСЗИ состоит в таких изменениях организационной структуры сил и средств ЗИ, их состояния, методов и способов применения, которые обеспечивают максимальную эффективность их применения для достижения целей защиты информации.
Необходимо отметить, что управление возможно не во всех системах (подсистемах), а только в тех, которым присущ ряд свойств:
в сохранении системы как целого решающая роль принадлежит информационным связям. Без обмена информацией между составляющими элементами такие системы не могут функционировать. При этом ослабление или потеря информационных связей между элементами системы неизбежно приводит к разрушению всех других связей и, как следствие, к распаду (разрушению) самой системы;
система способна переходить в различные состояния в соответствии с управляющими (информационными) воздействиями;
существует несколько допустимых линий поведения системы, из которых орган управления выбирает наиболее предпочтительную по тем или иным критериям. Если же возможности выбора лучшей линии поведения нет, то управление теряет смысл, т.е. фактически отсутствует;
процесс функционирования системы отличается целенаправленностью. Если цель не определена (или неизвестна), то, естественно, управление становится бессмысленным;
система открыта для внешнего воздействия, т.е. влияние внешних воздействий может иметь самые различные природу и последствия.
Системы, обладающие перечисленными особенностями, называются системами с управлением. К таким системам относится и система управления КСЗИ (СУ КСЗИ).
СУ КСЗИ имеют ряд особенностей:
они предназначены для функционирования в конфликтных ситуациях, так как ЗИ представляет собой сложный двусторонний процесс (СУ КСЗИ «злоумышленник»). СУ КСЗИ может подвергаться различным видам воздействия со стороны злоумышленника (взлом, несанкционированный доступ, уничтожение информации и т.п.), что, как правило, приводит к нарушению функционирования как составляющих систему элементов, так и системы в целом;
информация, на основе которой вырабатываются управляющие воздействия (производится выбор средств, методов и способов ЗИ), отличается значительной неполнотой, недостоверностью и противоречивостью. Злоумышленник постоянно изменяет средства и методы воздействия на систему.
Сущность управления КСЗИ заключается в целенаправленной деятельности руководства предприятия, должностных лиц и службы ЗИ, направленной на достижение целей защиты информации.
Что же это за цели?
Статьей 16 Закона Российской Федерации «Об информации, информационных технологиях и защите информации» определены следующие цели защиты информации:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
При этом требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3.
Исходя из положений закона, управление КСЗИ предназначено для обеспечения эффективного решения следующих задач:
1) предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременного обнаружения фактов несанкционированного доступа к информации;
3) предупреждения возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянного контроля за обеспечением уровня защищенности информации.
Достижение основных целей ЗИ связано с решением целого круга задач, составляющих содержание управления КСЗИ. Основными из них являются:
непрерывное добывание, сбор, изучение и анализ данных обстановки;
поддержание системы в постоянной готовности к выполнению задач ЗИ;
принятие решений по ЗИ;
доведение задач до подчиненных;
планирование мероприятий ЗИ;
организация и поддержание взаимодействия структурных подразделений предприятия;
всестороннее обеспечение мероприятий ЗИ;
организация управления, под которой понимается создание системы управления, обеспечение ее эффективного функционирования (в том числе и защита системы управления от всех видов воздействия злоумышленника), а также совершенствование этой системы с применением, прежде всего, новых информационных технологий;
управление подготовкой подразделений ЗИ;
организация и осуществление контроля и помощи подчиненным.
Необходимо отметить, что среди указанных задач особое место занимает принятие решения, которое является центральным моментом, ядром управления. Согласно теории управления принятие решения в системах управления является прерогативой человека (руководителя).
Суть принятия решения состоит в том, что руководитель (начальник) должен творчески и ответственно определить:
замысел ЗИ;
задачи подразделениям и подчиненным;
основные вопросы взаимодействия и обеспечения;
организацию управления.
Следует подчеркнуть особую роль руководителя, которую он играет при принятии решения. В современных условиях принятие решения всегда осуществляется в условиях жесткого дефицита времени, нехватки исходной информации, а также в условиях ведения информационной войны. Чтобы комплексно решать все задачи управления необходимо создать стройную систему управления, на научной основе организовать работу подчиненных, а также важно применять современные методы и средства управленческой работы, основанные на широком использовании новых информационных и сетевых технологий.
При принятии решения руководитель должен учитывать объективные законы управления, которые выражают наиболее существенные связи и отношения различных сторон управления между собой и с внешней средой:
зависимость организационных форм и методов управления КСЗИ от структуры предприятия, материально-технической базы и условий управления;
единство организационно-методологических основ на всех уровнях управления КСЗИ;
сохранение пропорциональности и оптимального соотношения всех элементов системы управления;
совместимость систем и средств управления подчиненных предприятию организаций, а также взаимодействующих организаций;
единство и соподчиненность критериев эффективности, используемых при управлении КСЗИ;
соответствие потребного и располагаемого времени при решении задач управления;
зависимость эффективности решения задач управления от объема используемой информации и т.д.