- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
15.2 Принципы управления ксзи
На основе перечисленных законов управления формируются принципы управления, которые в системе управления ЗИ выступают в качестве основных исходных положений управленческой деятельности, выработанных наукой и практикой, являющихся средством организации и регулирования целенаправленного воздействия на КСЗИ, а также одновременно и собственно функционирования управляющего субъекта.
Процесс выявления и обоснования принципов управления КСЗИ должен отвечать следующим требованиям:
а) отражать наиболее существенные, главные, объективно-необходимые закономерности, отношения и взаимосвязи системы управления;
б) характеризовать лишь устойчивые закономерности, отношения и взаимосвязи в системе управления;
в) охватывать преимущественно такие закономерности, отношения и взаимосвязи, которые присущи системе управления как целостному организму, т.е. имеют общий, а не частный характер;
г) отражать специфику управления КСЗИ, его отличие от других видов управления.
Взаимосвязи и взаимодействия между принципами существуют в рамках их целостной системы. Раскрытие содержания и потенциала любого принципа управления возможно лишь в рамках и с учетом его системных зависимостей.
Система принципов:
общие: принципы системности, объективности, саморегулирования, обратной связи;
оптимальности, информационной достаточности, эволюционизма, вероятности;
состязательности, ведущего звена, стимулирования;
частные - принципы, применяемые в различных подсистемах управления (например, экономической);
организационно-технологические: принципы единоначалия, сочетания, конкретности, распределения труда;
принципы иерархии, единства распорядительства, одного начальника, делегирования полномочий, диапазона управления.
Для примера, приведем несколько принципов, например, системного подхода к управлению КСЗИ:
Принцип цели (целеобусловленности). Основополагающий принцип системного подхода, ориентирующий руководителя на первоочередность анализа (синтеза) целей объекта, которые должны достигаться при его функционировании. Цель первична, и для ее достижения должна формироваться надлежащим образом организованная система. Системе может быть задано и несколько целей. В этом случае должен быть задан принцип компромисса, например указанием последовательности достижения целей (сначала более важных, а затем менее важных). Цель обусловливает структуру и поведение системы. В процессе функционирования цель системы может меняться. Соответственно этому должны меняться структура или (и) способ функционирования системы.
Принцип двойственности (относительности). Управляемый объект должен рассматриваться и как система и как подсистема системы более высокого уровня иерархии (суперсистемы). Например, объект информатизации, состоящий из множества различных элементов (в том числе и сотрудников предприятия, работающих на имеющихся на объекте средствах), является системой. В то же время данный объект является элементом какой-либо автоматизированной системы, которая по отношению к нему является суперсистемой. В свою очередь, объект информатизации является суперсистемой по отношению к входящим в его состав ПЭВМ.
Принцип целостности. Система управления должна рассматриваться не как простой набор элементов, а как нечто целое, единое.
Принцип сложности. Управление как объект является сложной совокупностью различных элементов, находящихся в многообразных связях между собой и элементами окружающей среды. Каждому объекту присуща бесконечная сложность, неисчерпаемость. Исходя из этого при решении задач управления необходимо рассматривать объект в упрощенном виде, но до такого уровня, на котором объект еще сохраняет свои существенные свойства. Важно найти компромисс между сложностью и простотой, не упустив при этом существенных свойств управляемого объекта.
Принцип всесторонности. Требует учитывать при управлении все системообразующие связи в объекте и факторы, влияющие на его функционирование.
Принцип множественности. Ориентирует руководителя на то, что для полного описания результатов управляющего воздействия на объект необходимо множество моделей, каждая из которых описывает его в каком-либо аспекте. Доказано, что заданную точность описания можно обеспечить конечным множеством моделей. Например, автоматическая система управления доступом описывается функциональной схемой, принципиальной схемой, монтажной схемой, временными диаграммами сигналов и рядом других моделей.
Принцип динамизма. Указывает на то, что управление необходимо рассматривать с учетом динамики функционирования объекта управления (т.е. все характеристики являются функциями времени).
Принцип историзма. Обязывает проводить исследование прошлого объекта, так как его функционирования в прошлом и настоящем позволяет вскрыть закономерности и выявить тенденции его развития. Таким образом, данный принцип вызывает необходимость рассмотрения объекта на всех стадиях его жизненного цикла, начиная с момента создания и заканчивая полной деградацией.
Принцип сходства. Рекомендует осуществлять поиск аналогов управленческих ситуаций им на предмет использования применявшихся по ним управленческих воздействий, имевших положительные результаты.
Управляя системой ЗИ, следует учитывать и другие принципы, являющиеся общими для различных видов деятельности:
Комплексность:
обеспечение защиты информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования.
Своевременность - упреждающий характер мер ЗИ.
Своевременность предполагает постановку задач по КЗИ на ранних стадиях разработки системы на основе анализа и прогнозирования обстановки, угроз, а также разработку эффективных мер предупреждения.
Непрерывность - считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам.
Активность. Проведение мероприятий ЗИ с достаточной степенью настойчивости, широко используя маневр силами и средствами защиты.
Законность. Предполагает разработку КСЗИ на основе законодательства в области информатизации и защиты информации и других нормативных актов в данной области, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
Обоснованность. Используемые возможности и средства защиты должны быть реализованы на современном уровне развития науки и техники, обоснованными с точки зрения заданного уровня защиты и соответствующими установленным требованиям и нормам.
Экономическая целесообразность и сопоставимость возможного ущерба и затрат (критерий "эффективность - стоимость"). Во всех случаях стоимость системы должна быть меньше размера возможного ущерба.
Специализация. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер ЗИ должны осуществляться профессионально подготовленными специалистами.
Взаимодействие и координация. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.
Совершенствование. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.
Централизация управления. Предполагает функционирование системы ЗИ по единым правовым, организационным, функциональным и методологическим принципам.