ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4228
Скачиваний: 25
никнуть при решении проблемы координации. При усложнении
управления и дальнейшей специализации отдельных функций
количество связей возрастает и возникает проблема координа
ции и согласования указаний различных функциональных служб
штаба. Разрешение данной проблемы возлагается на линейные
элементы.
Под технологией управления КСЗИ понимается организация
деятельности руководства и должностных лиц предприятия по
обеспечению комплексной зашиты информации.
Технология управления КСЗИ должна обеспечивать:
• точную и своевременную реализацию политики информацион
ной безопасности предприятия;
• гибкость применения положений политики информацион
ной безопасности (учет особенностей функционирования различ
ных подсистем предприятия);
• минимизацию затрат на реализацию управляющих воздей
ствий;
• соответствие принимаемых мер современному уровню разви
тия информационных технологий.
Для реализации технологии управления КСЗИ предприятия
необходимо:
• наличие системы взаимосвязанных нормативно-методических
и организационно-распорядительных документов;
• четкое распределение функций и определение порядка взаи
модействия подразделений предприятия при решении вопросов
ЗИ, зафиксированные в организационно-распорядительных до
кументах;
• наличие подразделения зашиты информации, наделенного
необходимыми полномочиями и непосредственно отвечающего за
формирование и реализацию единой политики информационной
безопасности предприятия, осуществляющего контроль и коор
динацию действий других структурных подразделений предприя
тия по вопросам ЗИ на всех этапах ее жизненного цикла.
Технология управления КСЗИ должна предусматривать взаи
модействие и реализацию функций по ЗИ подразделениями и
должностными лицами предприятия:
• руководством предприятия, принимающим стратегические
решения по вопросам ЗИ и устанавливающим (утверждающим)
основные документы, регламентирующие порядок функциониро
вания и развития КСЗИ, обеспечивающий безопасную обработку
и использование защищаемой информации;
• подразделением защиты информации;
• подразделением, ведущим учет и хранение носителей защи
щаемой информации;
• подразделением, отвечающим за разработку и/или приобре
тение технических средств обработки защищаемой информации;
• подразделениями, отвечающими за обеспечение нормальной
работы вычислительных средств, общих (системных) программ
ных средств, средств телекоммуникации;
• подразделением, отвечающим за проведение проверок под
разделений предприятия по вопросам соблюдения технологии;
• основных подразделений предприятия, решающих задачи с
использованием защищаемой информации.
Реализация технологии ЗИ на конкретном предприятии требу
ет адаптации к его структурно-функциональной организации.
Реализация подразделениями и персоналом предприятия функ
ций по ЗИ осуществляется на основе и в соответствии с разрабо
танными и утвержденными руководством предприятия организа
ционно-распорядительными документами — инструкциями, пра
вилами, должностными обязанностями, положениями и т.п. (под
робнее об этом см. в гл. 14).
Г л а в а 16
Принципы и методы планирования
функционирования КСЗИ
16.1. Понятие и задачи планирования
функционирования КСЗИ
Планирование является наиболее ответственным периодом уп
равленческой деятельности и определяется как процесс (управ
ленческая функция) уточнения целей системы и детальной про
граммы их достижения, оформленной в виде совокупности доку
ментов, служащих основанием для обеспечения последующего эф
фективного функционирования данной системы и достижения по
ставленных целей.
Планирование КСЗИ как процесс имеет две стороны:
• приспособление ресурсов системы к изменениям внешних и
внутренних условий;
• постановка целей, которые должна достигнуть система, и раз
работка программы их достижения.
Планирование КСЗИ можно рассматривать как деятельность
руководства предприятия и службы защиты информации, направ
ленную на выработку и принятие обоснованных решений по по
строению и обеспечению функционирования системы ЗИ, разра
ботку организационно-распорядительных документов и доведе
ние их до персонала.
Основной задачей планирования на уровне руководства пред
приятия является выбор целей, задач, методов и организацион
ных взаимосвязей КСЗИ. Планирование на этом уровне является
интегрирующей деятельностью, направленной на достижение мак
симальной эффективности КСЗИ в ходе ее функционирования в
соответствии с установленными целями.
Главным назначением планирования является создание осно
вы для последующих решений оперативного управления на всех
уровнях системы.
При этом
процессы планирования и принятия решений неот
делимы
друг от друга.
Решение
связано с выбором одного из аль
тернативных вариантов, но само по себе оно не является планом,
так как не всегда требует включения действий или сроков их ис
полнения.
План —
это заранее определенное направление действий. Он
включает: 1) ориентацию на будущее; 2) действия; 3) элемент,
указывающий определенное должностное лицо или орган управ
ления, выполняющий эти действия (предписание для его выпол
нения). При создании плана картина будущего (условия функци
онирования) создается с помощью
прогнозирования.
Для обеспечения требуемого качества планирования необхо
димо обеспечение обратной информационной связи от низших
уровней иерархии к высшим, которая влияет на планирование
последующих этапов функционирования КСЗИ. Поступление от
низших уровней иерархии необходимой для планирования ин
формации также обеспечивается иерархической структурой про
цесса планирования. В то же время ясные, хорошо сформулиро
ванные цели и задачи на вышестоящих уровнях позволяют обес
печить основу для планирования на более низких иерархических
уровнях.
Значение четкого определения целей для последующего пла
нирования
заключается в том, что они обеспечивают: основу для
реализации планирования на всех уровнях управления КСЗИ; пред
посылки для последующего более детального планирования; ос
нову для мотивации поведения должностных лиц, т.е. понимания
ими значения выполняемой работы для достижения известных
целей и задач системы; основу для четкого распределения ответ
ственности и для децентрализации детального планирования по
нижестоящим подразделениям; основу для координации деятель
ности функциональных подразделений группы планирования. Бо
лее общий характер целей высшего уровня делает необходимым
преобразование в процессе планирования этих целей в более дета
лизированные цели низших уровней иерархии, которые в конеч
ном счете трансформируются в практические цели подразделений.
Процесс
планирования
в КСЗИ может рассматриваться как про
цесс постановки целей, которые должна достигнуть КСЗИ, и раз
работки плана их достижения. Соответствующая этому процессу
технологически увязанная совокупность работ должностных лиц
может быть представлена посредством ряда этапов, характеризу
ющихся общностью выполняемых работ на различных иерархи
ческих уровнях. Самое укрупненное представление планирования
возможно через этапы, соответствующие наиболее важным опе
рациям.
Должностному лицу, организующему планирование, для до
стижения поставленных целей прежде всего нужно уяснить по
ставленные задачи. Естественным продолжением этого процесса
будет оценка существующей ситуации, в которой находится КСЗИ,
что соответствует оценке обстановки.
На основе этого должностными лицами решается задача, ка
ким образом можно реализовать поставленную цель, что соответ
ствует принятию решения, причем ядром принятия решения яв
ляется выработка замысла по достижению цели как обобщенное
описание решения. Принятие решения служит связующим зве
ном между поставленными задачами и целями функционирова
ния КСЗИ.
Только после проведения перечисленного комплекса меро
приятий можно приступать к завершению оформления принятых
решений в виде плана и доведению задач до подчиненных.
Таким образом, можно выделить следующие этапы планирова
ния в КСЗИ:
1) уяснение задачи и оценка обстановки;
2) выработка замысла решения;
3) завершение работы по принятию решения;
4) оформление и доведение документов планирования.
Представленные этапы не имеют четких границ. Например,
уяснение задачи и оценка обстановки осуществляются практиче
ски на всех этапах функционирования КСЗИ; замысел и решение
могут уточняться и корректироваться практически на всех этапах
планирования; постановка задач подчиненным может осуществ
ляться не только после завершения работы по принятию реше
ния, но и значительно раньше — после выработки замысла.
Процесс планирования может быть представлен также в виде
следующей последовательности фаз:
•
на первой фазе
осуществляется предварительное определе
ние основных характеристик планируемой КСЗИ, например:
а) выявление потребности в средствах ЗИ; б) оценка имеющихся
ресурсов; в) ориентировочное определение необходимого резерва
сил и средств ЗИ; г) предварительное распределение средств ЗИ
по объектам информатизации;
•
на второй фазе
процесс планирования распадается на про
цессы планирования отдельных функциональных подсистем, как
правило, процессы планирования для функциональных подсистем
осуществляются параллельно, каждый своей группой должност
ных лиц;
•
на третьей фазе
результаты планирования функциональных
подсистем обобщаются, после чего осуществляется разработка ва
риантов резервирования и производится оценка эффективности
полученных вариантов КСЗИ по заданному набору показателей.
Основная цель оценки эффективности КСЗИ заключается в
установлении степени соответствия планируемой системы предъяв
ляемым требованиям. В случае несоответствия системы предъяв
ляемым к ней требованиям может осуществляться разработка дру
гих вариантов ее организации с корректировкой исходных дан
ных или принятых ограничений. После получения варианта пла
на, удовлетворяющего заданным требованиям, происходит его
утверждение и окончательное оформление результатов.