Объектов информатизации

1.
Краткосрочное (оперативное) планирование – это планирование для управления системой при достижении ближайших целей (планирование в те- кущей обстановке). Краткосрочное планирование осуществляется на срок до 1 месяца.
2.
Среднесрочное планирование осуществляется с целью перспективного развития системы в течение небольшого, но значительного промежутка време- ни (1мес. – 1 год) с целью достижения ближайших перспектив.
3.
Долгосрочное планирование (свыше 1 года) направлено на обеспечение дальнейшего развития КСЗИ с учетом стратегических планов развития пред- приятия.
Методика планирования функционирования КСЗИ предусматривает:
– определение порядка действий;
– этапы выполнения;
– критерии оценки эффективности;
– обеспечение каждого мероприятия по защите информации (организаци- онное, материальное и другие виды обеспечения);
– контроль реализации принятых решений.
Контроль реализации принятых решений проводится с целью оценки эф- фективности реализованных решений, корректировки дальнейших планов, оп- тимизации хода выполнения решения, методической подготовки персонала.
Особое место в управлении КСЗИ отводится управлению в условиях ЧС.
Принципы планирования(требования) представляют собой основные исходные положения, правила обоснования и организации разработки плано- вых документов. Они должны постоянно изменяться, совершенствоваться, наполняться новым содержанием по мере развития экономики.
Впервые общие принципы планирования были обозначены А. Файолем. В качестве основных требований к разработке программы действий или планов предприятия им были сформулированы пять принципов:
1)
принцип необходимости планирования (повсеместное и обязательное применение планов при выполнении любого вида деятельности);
2)
принцип единства планов (разработка общего или сводного плана со- циально-экономического развития предприятия);
3)
принцип непрерывности планирования (на каждом предприятии про- цессы планирования, организации и управления производством, как и трудовая деятельность, являются взаимосвязанными между собой и должны осуществ- ляться постоянно и без остановки);
87

4)
принцип гибкости планов (предполагает возможность корректировки установленных показателей и координации планово-экономической деятельно- сти);
5)
принцип участия (состоит в том, что никто не может планировать эф- фективно для кого-то другого).
В зависимости от главных целей или основных подходов, используемой информации, нормативной базы, применяемых путей получения и согласования тех или иных конечных плановых показателей принято различать следующие
методы планирования:экспериментальные, нормативные, балансовые, рас- четно-аналитические, программно-целевые, отчетно-статистические, экономи- ко-математические и другие.
Расчетно-аналитический метод основан на расчленении выполняемых работ и группировке используемых ресурсов по элементам и взаимосвязи, ана- лизе условий наиболее эффективного их взаимодействия и разработке на этой основе проектов планов.
Экспериментальный метод – это проектировка норм, нормативов и мо- делей планов на основе проведения и изучения замеров и опытов, а также учета опыта специалистов.
Отчетно-статистический метод состоит в разработке проектов планов на основе отчетов, статистики и иной информации, характеризующей реальное состояние и изменение характеристики деятельности предприятия.
В процессе планирования ни один из рассматриваемых методов не при- меняется в чистом виде.
В качестве конечных точек планирования выступают цели. Цели должны быть: реальными и достижимыми; детализированными с точки зрения ком- плекса и содержания работ подразделений, обеспечивающих их реализацию; измеримыми; однозначными для понимания (четкими).
Цели задаются также с учетом объема работ и сроков их выполнения, с учетом имеющихся ресурсов и возможностей исполнителей.
Основными этапами процесса планирования в КСЗИ являются:
– определение и обоснование целей организации системы ЗИ;
– формирование перечня задач, обеспечивающих достижение поставлен- ных целей;
– анализ условий, обеспечивающих достижение целей планирования;
– поиск значимых причин, факторов и тенденций во внутренней и внеш- ней среде защищаемого объекта;
88

– определение реальных и потенциальных угроз безопасности;
– анализ ресурсов, необходимых для обеспечения решения поставленных задач;
– формирование и выбор стратегических альтернатив организации систе- мы защиты;
– анализ сравнительных преимуществ и недостатков;
– согласование ресурсов, выделяемых для решения задач;
– определение приоритетов и последовательности решения плановых за- дач и организации их исполнения;
– определение эффективных методов решения задач и использования ре- сурсов:
– определение видов и способов контроля выполнения плановых задач;
– документальное и организационное оформление плана.
24
. Сущность и содержание контроля функционирования КСЗИ
Контроль является одним из важнейших и необходимых направлений ра- бот по ЗИ. Цель контроля: выявить слабые места системы, допущенные ошиб- ки, своевременно исправить их и не допустить повторения.
Основные требования к контролю: комплексность, своевременность, стан- дартизация, простота, доступность, гибкость, объективность, экономичность.
Основные методы контроля: проверка, изучение, испытания, наблюдения, зачеты, экзамены, тестирование, провокации аварийных ситуаций, атаки и др.
Основными задачами контроля являются [2, 11, 31]:
– определение обоснованности и практической целесообразности прово- димых мероприятий по ЗИ;
– выявление фактического состояния СЗИ в данный период времени;
– анализ сравнения фактического состояния с заданным режимом, обста- новкой и оценка характера допущенных отклонений и недоработок;
– установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных;
– разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.
– изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.
89

Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения уста- новленных требований и норм по ЗИ. Организационные меры контроля вклю- чают проверку:
– выполнения сотрудниками требований по обеспечению сохранности коммерческой тайны;
– выполнения пропускного режима (проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранников);
– выполнения сотрудниками правил работы с конфиденциальными до- кументами (правила хранения, размножения и копирования);
– наличия защищаемых носителей конфиденциальной информации.
При проведении технического контроля осуществляется проверка мер технической защиты информации установленным требованиям или предельно допустимым значениям (нормам). В зависимости от объема проверяемых кана- лов возможной утечки информации технический контроль может быть:
– комплексный, проверка всех каналов;
– целевой, проверка одного из каналов;
– выборочный, проверка наиболее вероятных каналов утечки.
Кроме того, контроль функционирования КСЗИ может быть:
– внешний, проводимый различными государственными органами;
– внутренний, проводимый службой безопасности предприятия.
При классификации видов контроля используются временные рамки, скорость изменения контролируемых процессов, затраты на проведение изме- рений и обработку результатов и др. (см. приведенную ниже таблицу).
Категория контроля
Возможные разновидности контроля
Уровень автоматизации неавтоматизированный; частично; полностью
Объекты системы система в целом; подсистемы КСЗИ; отдельные элементы
Полнота охвата локальный; сквозной; глобальный
Последовательность реали- зации контрольных операций последовательный; параллельный; смешанный
Функциональная направлен- ность организационно-правовой; технический; ре- сурсный (кадровый, информационный)
Периодичность систематический; периодический; эпизодиче- ский (внезапный)
Вид получаемой информации первичный; сводный
90

В последнее время широко применяются следующие виды контроля:
– мониторинг – непрерывное поступление информации;
– контроллинг – оценка экономичности;
– бенчмаркинг – внедрение технологий, стандартов и методов деятельно- сти более успешных организаций-аналогов.
В самом процессе контроля выделяют следующие стадии: предваритель- ная, текущая и заключительная.
Заключительный контроль даёт руководству информацию для: анализа причин нарушений и недостатков в организации и обеспечении ЗИ; выработки рекомендаций по их устранению и планирования проведения аналогичных ра- бот в будущем.
25
. Управление КСЗИ в условиях чрезвычайных ситуаций
Чрезвычайная ситуация (ЧС) – это катастрофические изменения состоя- ния некоторого объекта (здания, предприятия, территории), сложившиеся в ре- зультате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия и повлекшие за собой большие людские, материальные или фи- нансовые потери.
ЧС классифицируются: по источникам происхождения и по масштабам
(количеству пострадавших, размеру материального ущерба, территории рас- пространения).
Выделяют следующие причины возникновения ЧС:
– природные (ураганы, землетрясения, наводнения и т.д.);
– техногенные (поломки, аварии, взрывы);
– антропогенные источники ЧС (неосторожность персонала, злой умысел и т.д.), связанные с деятельностью человека;
– терроризм.
На принятие решений в условиях ЧС существенное влияние оказывают следующие факторы:
– неопределенность, связанная со сложностью сбора и обработки опера- тивной информации, а также возможным разрушением АС управления;
– недостаток резервов и ресурсов;
– ограниченность времени на принятие решения;
– психофизиологическое состояние лиц, принимающих решения, и тех, кто испытал на себе последствия ЧС (шок, кровопотеря, страх, голод, и т.п.).
91

Главное в ЧС – это сохранение жизни людей и нормальное функциониро- вание систем жизнеобеспечения, в том числе КСЗИ.
Все ЧС имеют 3 классических периода:
1) угрожаемый;
2) нейтрализации или предотвращения;
3) восстановления функционирования КСЗИ.
В этой связи чрезвычайно важной является подготовка мероприятий на случай возникновения ЧС. Это может быть:
1. Заблаговременная подготовка, включающая:
– прогнозирование потерь при ЧС;
– расчет и формирование резерва, необходимого для сокращения потерь;
– поддержание ресурсов в необходимой степени готовности.
2.
Непосредственная подготовка – привлечение (частичное или полное) подготовленного резерва к работам по ликвидации последствий ЧС.
Для КСЗИ в условиях ЧС необходимо разработать:
– меры по защите наиболее важных и ценных носителей информации;
– подробные инструкции, регламентирующие деятельность каждого со- трудника;
– распределение обязанностей и ответственности за сохранность носите- лей информации;
– материально-техническое обеспечение ЧС (маршруты перевозок, карты, адреса, и. т.п.).
Особое внимание необходимо уделить созданию резервных копий жиз- ненно важной для функционирования комплексной системы информации.
Различают следующие виды резервирования:
1) организационное; 2) техническое; 3) информационное.
Среди методов резервирования выделяют:
– полное дублирование;
– инкрементальное (наращиваемое) резервирование;
– дифференциальное резервирование.
Полное резервирование обычно затрагивает всю КСЗИ и все защищаемые документы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование.
При инкрементальном резервировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполня- лось полное или добавочное резервное копирование. Последующее резервиро-
92

вание добавляет только те файлы, которые были изменены с момента преды- дущего инкрементального резервирования. В среднем, этот вид резервирования требует меньше времени. Однако процесс восстановления данных занимает больше времени, так как объем восстанавливаемых данных увеличивается.
При дифференциальном резервировании каждый файл, который был из- менен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления.
Управление КСЗИ в ЧС сводится к разработке плана действий в возмож- ных ЧС и к проведению учений, тренировок персонала, и т.п.
Главный показатель системы в ЧС – катастрофоустойчивость – способ- ность вычислительных систем сохранять работоспособность хотя бы в некото- ром минимальном объеме после возникновения ЧС.
26
. Состав методов и моделей оценки эффективности КСЗИ
Эффективность системы – это свойство системы, характеризующее ее способность выполнять свою целевую функцию.
Оценка эффективности – это процедура, направленная на определение качественных и количественных показателей эффективности, выявление кри- тических элементов системы, а также определение интегрального показателя эффективности системы в целом.
Показатель эффективности (ПЭ) – это величина, характеризующая сте- пень достижения системой какой-либо из стоящих перед ней задач.
Примером ПЭ является криптостойкость шифра, которая определяется временем или стоимостью взлома шифра.
ПЭ должен:
– иметь определенный физический смысл;
– быть пригодным для количественного анализа;
– иметь простую и удобную форму;
– отражать одну из значимых сторон функционирования системы;
– обеспечивать необходимую чувствительность. Чувствительность – способность объекта реагировать определённым образом на определённое ма- лое воздействие (изменение параметров и характеристик), а также количе- ственная характеристика этой способности.
Все ПЭ можно разделить на 2 группы:
93

1. Единичные (частные), отражают какую-либо из значимых сторон функционирования системы (вероятность обнаружения нарушителя или веро- ятность его нейтрализации силами охраны и т.п.);
2. Комплексные (обобщенные), представляют собой комбинацию частных показателей.
Кардинальным обобщающим показателем является показатель экономи- ческой эффективности системы, характеризующий целесообразность затрат, произведенных на создание и функционирование системы.
Для того чтобы оценить эффективность системы ЗИ или сравнить систе- мы по их эффективности, необходимо задать некоторое правило предпочтения.
Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности.
Для оценки эффективности КСЗИ и получения критерия эффективности при использовании некоторого множества n показателей используют ряд методов:
1. Выбирается один главный показатель, и оптимальной считается систе- ма, для которой этот показатель достигает экстремума. При условии, что остальные показатели удовлетворяют системе ограничений, заданных в виде неравенств.
2. Методы, основанные на ранжировании показателей по важности. При сравнении систем одноименные показатели эффективности сопоставляются в порядке убывания их важности по определенным алгоритмам.
3.
Мультипликативные и аддитивные методы получения критериев эф- фективности основываются на объединении всех или части показателей с по- мощью операций умножения или сложения в обобщенные показатели. Если в произведение (сумму) включается часть показателей, то остальные частные по- казатели включаются в ограничения.
4.
Метод Парето: при использовании n показателей эффективности си- стеме соответствует точка в n-мерном пространстве. В n-мерном пространстве строится область парето-оптимальных решений, содержащая несравнимые ре- шения, для которых улучшение какого-либо показателя невозможно без ухуд- шения других показателей эффективности. Выбор наилучшего решения из чис- ла парето-оптимальных может осуществляться по различным правилам.
Моделирование оценки эффективности КСЗИ сводится к построению аб- страктного образа всей системы с имитацией её основных характеристик в ин- тересах получения требуемых данных – показателей эффективности, как от- дельных компонентов, так и всей системы в целом.
94

Процесс моделирования оценки эффективности разбивается на ряд эта- пов: выбор критериев; построение модели; реализация процессов оценки эф- фективности (в интересах поставленной цели).
На практике выделяют следующие группы