FAQ_Print

Возможно, необходимо поговорить с ним, выяснить причины ухода и в том случае, если уход связан с конфликтом, чувством неудовлетворенности и т. д., потребовать еще раз разобраться в ситуации, и тем самым, возможно, поправить положение.

14. Материально-техническое и норматив- но-методическое обеспечение КСЗИ.

Материально-техническое обеспечение (МТО)

МТО КСЗИ включает:

•планирование и осуществление работы объектов материально-техниче- ской базы службы ЗИ;

•своевременное определение потребности, приобретение, учет и хранение всех видов материальных средств, их распределение, выдачу (отправку, передачу) по назначению, обеспечение правильного и экономного расходования и ведение отчетности;

•накопление и содержание установленных запасов материальных средств, обеспечение их сохранности;

•правильную эксплуатацию, сбережение, своевременное техническое обслуживание и ремонт;

•создание условий для организации и проведения мероприятий ЗИ;

•строительство, ремонт и правильную эксплуатацию зданий и помещений;

•изучение положения дел, выявление внутренних и внешних факторов, оказывающих влияние на МТО КСЗИ;

•выявление нарушений, ошибок в МТО, оперативное принятие мер по их устранению.

Основными направлениями развития и совершенствования МТО ЗИ являют-

ся:

•повышение технической оснащенности объектов ЗИ материально-техниче- скими средствами;

•улучшение планирования МТО ЗИ;

•строительство и эксплуатация объектов ЗИ в строгом соответствии с требованиями безопасности информации;

•оснащение объектов ЗИ новыми СЗИ;

•обучение пользователей правилам работы с СЗИ;

•внедрение в практику методов наиболее экономного и эффективного ис-

321

пользования материально-технической базы;

• обеспечение сохранности материальных и денежных средств и предотвращение их утрат.

Должностные лица, ответственные за МТО КСЗИ, обязаны:

•знать и доводить до подчиненных требования нормативных актов предприятия по вопросам МТО КСЗИ;

•определять потребность и знать обеспеченность СЗИ материальными и денежными средствами для обеспечения ЗИ;

•знать наличие, состояние, порядок эксплуатации (хранения) материальных средств ЗИ, в том числе в их подразделениях, правильно определять потребность

вних;

•своевременно истребовать и получать положенные материальные средства

ЗИ;

•организовывать ведение учета, правильное хранение, сбережение запасов материальных средств КСЗИ, а также их эксплуатацию, ремонт и техническое обслуживание;

•участвовать в организации проектирования, строительства и реконструкции объектов ЗИ;

•осуществлять планирование МТО КСЗИ;

•организовывать работу по экономному, рациональному расходованию материальных средств;

•осуществлять контроль за использованием материальных средств КСЗИ.

Нормативно-методическое обеспечение

Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.

Состав нормативно-методического обеспечения может быть определен сле-

дующим образом: законодательная база, руководящие методические документы и информационно-справочная база. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), ГОСТы. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав ин-

формационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных.

322

Нормативно-методическая документация должна содержать следующие вопросы защиты информации:

•какие информационные ресурсы защищаются;

•какие программы можно использовать на служебных компьютерах;

•что происходит при обнаружении нелегальных программ или данных;

•дисциплинарные взыскания и общие указания о проведении служебных расследований;

•на кого распространяются правила;

•кто разрабатывает общие указания;

•точное описание полномочий и привилегий должностных лиц;

•кто может предоставлять полномочия и привилегии;

•порядок предоставления и лишения привилегий в области безопасности;

•полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;

•особые обязанности руководства и служащих по обеспечению безопасно-

сти;

•объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);

•дата ввода в действие и даты пересмотра;

•кто и каким образом ввел в действие эти правила.

Серьезное значение для обеспечения безопасности информационных ресурсов приобретают документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе.

Ктаким основополагающим документам можно отнести:

1.устав предприятия, закрепляющий условия обеспечения безопасности деятельности и защиты информации;

2.трудовые договоры с сотрудниками предприятия, содержащие требования

по обеспечению защиты сведений, составляющих коммерческую тайну и др.;

3.правила внутреннего трудового распорядка рабочих и служащих;

4.должностные обязанности руководителей, специалистов и обслуживающего персонала.

5.«Перечень сведений, составляющих коммерческую тайну»

323

15. Назначение, структура и содержание управления КСЗИ.

Смысл и цель управления в КСЗИ состоит в таких изменениях организационной структуры сил и средств ЗИ, их состояния, методов и способов применения, которые обеспе¬чивают максимальную эффективность их применения для дости¬жения целей защиты информации.

Необходимо отметить, что управление возможно не во всех системах (подсистемах), а только в тех, которым присущ ряд свойств.

•В сохранении системы как целого решающая роль принадлежит информационным связям. Без обмена информацией между составляющими элементами такие системы не могут функционировать.

•Система способна переходить в различные состояния в соответствии с управляющими (информационными) воздействиями.

•Существует несколько допустимых линий поведения системы, из которых орган управления выбирает наиболее предпочтительную по тем или иным критериям. Если возможности выбора лучшей линии поведения нет, то управление теряет смысл, т.е. фактически отсутствует.

•Процесс функционирования системы отличается целенаправленностью. Если цель не определена (или неизвестна), то, естественно, управление становит-

ся бессмысленным.

•Система открыта для внешнего воздействия, т.е. влияние внешних воздействий может иметь самые различные природу и последствия.

•Системы, обладающие перечисленными особенностями, назы-ваются системами с управлением. К таким системам относится и система управления КСЗИ (СУ КСЗИ).

СУ КСЗИ имеют ряд особенностей. Они предназначены для функционирования в конфликтных ситуациях, так как ЗИ представляет собой сложный двусторонний процесс (СУ КСЗИ <-» «злоумышленник»). СУ КСЗИ может подвергаться различным видам воздействия со стороны злоумышленника (взлом, несанкционированный доступ, уничтожение информации и т.п.), что, как правило, приводит к нарушению функционирования как составляющих систему элементов, так и системы в целом.

Сущность управления КСЗИ заключается в целенаправленной деятельности

руководства предприятия, должностных лиц и службы ЗИ, направленной на достижение целей защиты информации.

324

Что же это за цели?

Статьей 16 Федерального закона «Об информации, информационных технологиях и защите информации» определены следующие цели защиты информа-

ции:

1.обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2.соблюдение конфиденциальности информации ограниченного доступа;

3.реализация права на доступ к информации.

Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в п. 1 и 3.

В соответствии с положениями закона управление КСЗИ предназначено для обеспечения эффективного решения следующих задач:

1.предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2.своевременного обнаружения фактов несанкционированного доступа к информации;

3.предупреждения возможности неблагоприятных последствий нарушения порядка доступа к информации;

4.недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5.незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6.постоянного контроля за обеспечением уровня защищенности информа-

ции.

Необходимо отметить, что среди указанных задач особое место занимает принятие решения, которое является центральным моментом, ядром управления. Согласно теории управления принятие решения в системах управления является

прерогативой человека (руководителя).

Суть принятия решения состоит в том, что руководитель (начальник) должен творчески и ответственно определить:

1.замысел ЗИ;

2.задачи подразделениям и подчиненным;

3.основные вопросы взаимодействия и обеспечения;

325

4. организацию управления.

Следует подчеркнуть особую роль руководителя при принятии решения. В современных условиях принятие решения всегда осуществляется в условиях жесткого дефицита времени, нехватки исходной информации, а также в условиях ведения информационной войны. Чтобы комплексно решать все задачи управления, необходимо создать стройную систему управления, на научной основе организовать работу подчиненных, а также важно применять современные методы и средства управленческой работы, основанные на широком использовании новых информационных и сетевых технологий.

Принимая решение, руководитель должен учитывать объективные законы управления, которые выражают наиболее существенные связи и отношения различных сторон управления между собой и с внешней средой:

•зависимость организационных форм и методов управления КСЗИ от структуры предприятия, материально-технической базы и условий управления;

•единство организационно-методологических основ на всех уровнях управления КСЗИ;

•сохранение пропорциональности и оптимального соотношения всех элементов системы управления;

•совместимость систем и средств управления подчиненных предприятию организаций, а также взаимодействующих организаций;

•единство и соподчиненность критериев эффективности, используемых при управлении КСЗИ;

•соответствие потребного и располагаемого времени при решении задач управления;

•зависимость эффективности решения задач управления от объема используемой информации и т.д.

16. Принципы и методы планирования функционирования КСЗИ.

Особое место в управлении КСЗИ занимает планирование, под которым понимается процесс прогнозирования возможных ситуаций и путей выхода из них. Оно предусматривает разработку комплекса мероприятий, определяющих последовательность достижения конкретных целей с учетом возможностей наиболее эффективного использования ресурсов каждым подразделением.

Обобщенные цели планирования регламентируют общий целевой подход в процессе разработки плана.

Цели должны быть:

326

•реальными и достижимыми;

•детализированными по подразделениям;

•измеримыми и однозначными, т.е четкими и ясными для понимания;

•не противоречащими объективным законам управления;

•понятными для исполнителей.

Цели задаются:

•с учетом объема работ и сроков их выполнения;

•с учетом имеющихся ресурсом для их достижения;

•с учетом возможностей исполнителей.

Формы планирования в зависимости от длительности планового периода:

1.Перспективное планирование (более 3 лет). Нет ограничений по ресурсам;

2.Среднесрочное планирование (от 1 до З лет). Есть резерв ресурсов, который может быть использован;

3.Текущее планирование (от 1 недели до 1 года). Используют только имеющиеся ресурсы.

Принципы планирования

Планирование реализуется через систему принципов, которые и должны быть положены в основу планирования:

1.директивность, т. е. обязательный характер планов;

2.преемственность — сочетание и взаимосвязь перспективного и текущего планирования: использование положительного опыта работы, учет допущенных недостатков и просчетов;

3.конкретность — постановка четких целей и задач, определение наиболее рациональных путей, методов и способов их достижения, установление ответственности конкретных лиц за организацию и выполнение плановых мероприятий, определение оптимальных и реальных сроков их реализации;

4.гибкость — наличие возможностей маневра имеющимися силами и сред-

ствами в ходе выполнения плана, а также корректировка плана в случае изменения обстановки;

5.проблемность — нацеленность мероприятий на решение значимых вопросов, сосредоточение усилий работников на основных направлениях их деятельности, недопущение распыленности в использовании сил и средств;

6.комплексность — обеспечение использования всей системы мер по защите

тайны на различных направлениях, в подразделениях, учет интересов всех, кто

327

ведет работу на смежных участках, согласование и увязка на различных уровнях всех задач и способов их достижения;

7. экономичность — максимальные результаты должны достигаться при наименьших затратах сил и средств.

Способы планирования

1. Анализ. При таком способе планирования на самом высшем уровне разрабатываются основные компоненты плана: цели, задачи, возможные условия, выделенные ресурсы и др. Определяются основные задачи подразделений.

Также на уровне подразделений — анализируют цели, задачи, ресурсы, сроки. Анало¬гично происходит на низшем уровне.

2.Синтез. В этом случае сначала составляют планы на низшем уровне, которые затем, последовательно обобщенные, синтезируют в соответствии и иерархической струк-турой.

3.Итерация. При таком способе определяют отправные установки планирования и на их основе вырабатывается первое приближение плана. На основе наилучшего варианта уточняются и корректируются исходные установки и разрабатывается следующее приближение плана и так до тех пор, пока не будет получен приемлемый вариант плана, который должен удовлетворять требованиям, как отдельных структур, так и всей системы в целом. Данный способ планирования наиболее приемлем для КСЗИ.

Стадии планирования

1. Обоснование целей и критериев, которое заключается:

•в формулировании целей, которые представляют собой совокупность желаемых результатов и имеют иерархическую структуру.

•в выборе критериев, который определяется целями планируемой деятельности.

2.Анализ условий.

3.Формирование задач.

4.Анализ ресурсов, которые могут быть использованы для решения задач.

5.Согласование целей, задач, условий, ресурсов.

6.Определение последовательности выполнения за¬дач.

7.Определение методов контроля выполнения планов:

•зависит от целей планирования, выбранных крите¬риев, а также подхода и

методов планирования;

•включает в себя определение параметров плана и разработку соответству-

328

ющих процедур контроля.

8.Определение порядка корректировки планов.

17.Сущность и содержание контроля функционирования КСЗИ.

Контроль является одним из важнейших и необходимых направлений работ по ЗИ.

Цели контроля: установление степени соответствия принимаемых мер по защите информации требованиям законодательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и несанкционированного доступа к информации, выработка рекомендаций по закрытию этих каналов.

Основные требования к контролю: комплексность; своевременность; стандартизация; простота; доступность; гибкость; объективность; экономичность

Процесс контроля включает три стадии:

1.Установление фактического состояния СЗИ;

2.Анализ сравнения фактического положения с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;

3.Разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.

Основными задачами контроля являются:

1.Определение обоснованности и практической целесообразности проводи-

мых мероприятий по ЗИ;

2.Выявление фактического состояния СЗИ в данный период времени;

3.Установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных;

4.Изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.

Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ.

Организационные меры контроля включают:

1. Проверку выполнения сотрудниками требований по обеспечению сохран-

ности КТ.

329

2.Проверку выполнения пропускного режима;

3.Проверку выполнения сотрудниками правил работы с конфиденциальными документами;

4.Проверку наличия защищаемых носителей конфиденциальной информа-

ции.

При этом могут применяться следующие виды контроля:

•предварительный;

•текущий;

•заключительный.

Также с целью обеспечения систематического наблюдения за уровнем защиты может осуществляться периодический контроль. Периодический контроль проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работают. Периодический контроль может быть:

•гласным;

•негласным.

Гласный периодический контроль эффективности ЗИ проводится выборочно (применительно к отдельным структурным подразделениям или отдельным работам) или на всем предприятии по планам, утвержденным руководством.

Негласный (внезапный) контроль осуществляется с целью объективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, та-

кой контроль оказывает психологическое воздействие на сотрудников, вынуждая их более тщательно выполнять требования по обеспечению ЗИ.

Контроль функционирования КСЗИ можно разделить на два основных вида

— внешний и внутренний.

Цель внутреннего контроля – информационная прозрачность КСЗИ для возможности принятия эффективных решений. Внутренний контроль осуществляется в отношении защиты всех видов информации с ограниченным доступом. Проводится руководством предприятия, внутренними проверочными комиссиями, службой безопасности и подразделением защиты информации.

Внешний контроль функционирования КСЗИ осуществляется различного рода государственными органами, а также аудиторскими организациями. Внешний контроль отслеживает обеспечение защиты государственной тайны и персональных данных.

Виды контроля могут определяться, исходя из временных рамок, скорости из-

менений контролируемых процессов, затрат на проведение измерений и обработку полученных результатов.

330