Объектов информатизации
Скачать 1.13 Mb.
|
23 . Принципы и методы планирования функционирования КСЗИ Особое место в управлении КСЗИ занимает планирование. Планирование – это процесс разработки и последующего контроля за хо- дом реализации разработанного и принятого к исполнению плана и его коррек- тировки в соответствии с изменяющимися условиями. Кроме того, это процесс обработки информации, направленный на обоснование предстоящих действий, выявление наилучших способов достижения целей. Функциями планированияявляются научное обоснование целей развития, выбор наилучших способов достижения целей. Различают следующие уровни планирования: – стратегическое планирование– особый вид плановой работы, заклю- чающийся в разработке стратегических решений (в форме прогнозов, проектов, программ и планов). В ходе стратегического планирования разрабатывается по- литика. – тактическое планирование– планирование отдельных мероприятий, касающихся достижения стратегических целей и определения ресурсов для их реализации. – операционное (оперативное) планированиепредставляет собой выбор средств решения задач, поставленных, заданных или установленных вышесто- ящим руководством. С точки зрения охвата периода времени планирование может быть: крат- косрочным, среднесрочным, долгосрочным. 86 1. Краткосрочное (оперативное) планирование – это планирование для управления системой при достижении ближайших целей (планирование в те- кущей обстановке). Краткосрочное планирование осуществляется на срок до 1 месяца. 2. Среднесрочное планирование осуществляется с целью перспективного развития системы в течение небольшого, но значительного промежутка време- ни (1мес. – 1 год) с целью достижения ближайших перспектив. 3. Долгосрочное планирование (свыше 1 года) направлено на обеспечение дальнейшего развития КСЗИ с учетом стратегических планов развития пред- приятия. Методика планирования функционирования КСЗИ предусматривает: – определение порядка действий; – этапы выполнения; – критерии оценки эффективности; – обеспечение каждого мероприятия по защите информации (организаци- онное, материальное и другие виды обеспечения); – контроль реализации принятых решений. Контроль реализации принятых решений проводится с целью оценки эф- фективности реализованных решений, корректировки дальнейших планов, оп- тимизации хода выполнения решения, методической подготовки персонала. Особое место в управлении КСЗИ отводится управлению в условиях ЧС. Принципы планирования(требования) представляют собой основные исходные положения, правила обоснования и организации разработки плано- вых документов. Они должны постоянно изменяться, совершенствоваться, наполняться новым содержанием по мере развития экономики. Впервые общие принципы планирования были обозначены А. Файолем. В качестве основных требований к разработке программы действий или планов предприятия им были сформулированы пять принципов: 1) принцип необходимости планирования (повсеместное и обязательное применение планов при выполнении любого вида деятельности); 2) принцип единства планов (разработка общего или сводного плана со- циально-экономического развития предприятия); 3) принцип непрерывности планирования (на каждом предприятии про- цессы планирования, организации и управления производством, как и трудовая деятельность, являются взаимосвязанными между собой и должны осуществ- ляться постоянно и без остановки); 87 4) принцип гибкости планов (предполагает возможность корректировки установленных показателей и координации планово-экономической деятельно- сти); 5) принцип участия (состоит в том, что никто не может планировать эф- фективно для кого-то другого). В зависимости от главных целей или основных подходов, используемой информации, нормативной базы, применяемых путей получения и согласования тех или иных конечных плановых показателей принято различать следующие методы планирования:экспериментальные, нормативные, балансовые, рас- четно-аналитические, программно-целевые, отчетно-статистические, экономи- ко-математические и другие. Расчетно-аналитический метод основан на расчленении выполняемых работ и группировке используемых ресурсов по элементам и взаимосвязи, ана- лизе условий наиболее эффективного их взаимодействия и разработке на этой основе проектов планов. Экспериментальный метод – это проектировка норм, нормативов и мо- делей планов на основе проведения и изучения замеров и опытов, а также учета опыта специалистов. Отчетно-статистический метод состоит в разработке проектов планов на основе отчетов, статистики и иной информации, характеризующей реальное состояние и изменение характеристики деятельности предприятия. В процессе планирования ни один из рассматриваемых методов не при- меняется в чистом виде. В качестве конечных точек планирования выступают цели. Цели должны быть: реальными и достижимыми; детализированными с точки зрения ком- плекса и содержания работ подразделений, обеспечивающих их реализацию; измеримыми; однозначными для понимания (четкими). Цели задаются также с учетом объема работ и сроков их выполнения, с учетом имеющихся ресурсов и возможностей исполнителей. Основными этапами процесса планирования в КСЗИ являются: – определение и обоснование целей организации системы ЗИ; – формирование перечня задач, обеспечивающих достижение поставлен- ных целей; – анализ условий, обеспечивающих достижение целей планирования; – поиск значимых причин, факторов и тенденций во внутренней и внеш- ней среде защищаемого объекта; 88 – определение реальных и потенциальных угроз безопасности; – анализ ресурсов, необходимых для обеспечения решения поставленных задач; – формирование и выбор стратегических альтернатив организации систе- мы защиты; – анализ сравнительных преимуществ и недостатков; – согласование ресурсов, выделяемых для решения задач; – определение приоритетов и последовательности решения плановых за- дач и организации их исполнения; – определение эффективных методов решения задач и использования ре- сурсов: – определение видов и способов контроля выполнения плановых задач; – документальное и организационное оформление плана. 24 . Сущность и содержание контроля функционирования КСЗИ Контроль является одним из важнейших и необходимых направлений ра- бот по ЗИ. Цель контроля: выявить слабые места системы, допущенные ошиб- ки, своевременно исправить их и не допустить повторения. Основные требования к контролю: комплексность, своевременность, стан- дартизация, простота, доступность, гибкость, объективность, экономичность. Основные методы контроля: проверка, изучение, испытания, наблюдения, зачеты, экзамены, тестирование, провокации аварийных ситуаций, атаки и др. Основными задачами контроля являются [2, 11, 31]: – определение обоснованности и практической целесообразности прово- димых мероприятий по ЗИ; – выявление фактического состояния СЗИ в данный период времени; – анализ сравнения фактического состояния с заданным режимом, обста- новкой и оценка характера допущенных отклонений и недоработок; – установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных; – разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации. – изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ. 89 Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения уста- новленных требований и норм по ЗИ. Организационные меры контроля вклю- чают проверку: – выполнения сотрудниками требований по обеспечению сохранности коммерческой тайны; – выполнения пропускного режима (проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранников); – выполнения сотрудниками правил работы с конфиденциальными до- кументами (правила хранения, размножения и копирования); – наличия защищаемых носителей конфиденциальной информации. При проведении технического контроля осуществляется проверка мер технической защиты информации установленным требованиям или предельно допустимым значениям (нормам). В зависимости от объема проверяемых кана- лов возможной утечки информации технический контроль может быть: – комплексный, проверка всех каналов; – целевой, проверка одного из каналов; – выборочный, проверка наиболее вероятных каналов утечки. Кроме того, контроль функционирования КСЗИ может быть: – внешний, проводимый различными государственными органами; – внутренний, проводимый службой безопасности предприятия. При классификации видов контроля используются временные рамки, скорость изменения контролируемых процессов, затраты на проведение изме- рений и обработку результатов и др. (см. приведенную ниже таблицу). Категория контроля Возможные разновидности контроля Уровень автоматизации неавтоматизированный; частично; полностью Объекты системы система в целом; подсистемы КСЗИ; отдельные элементы Полнота охвата локальный; сквозной; глобальный Последовательность реали- зации контрольных операций последовательный; параллельный; смешанный Функциональная направлен- ность организационно-правовой; технический; ре- сурсный (кадровый, информационный) Периодичность систематический; периодический; эпизодиче- ский (внезапный) Вид получаемой информации первичный; сводный 90 В последнее время широко применяются следующие виды контроля: – мониторинг – непрерывное поступление информации; – контроллинг – оценка экономичности; – бенчмаркинг – внедрение технологий, стандартов и методов деятельно- сти более успешных организаций-аналогов. В самом процессе контроля выделяют следующие стадии: предваритель- ная, текущая и заключительная. Заключительный контроль даёт руководству информацию для: анализа причин нарушений и недостатков в организации и обеспечении ЗИ; выработки рекомендаций по их устранению и планирования проведения аналогичных ра- бот в будущем. 25 . Управление КСЗИ в условиях чрезвычайных ситуаций Чрезвычайная ситуация (ЧС) – это катастрофические изменения состоя- ния некоторого объекта (здания, предприятия, территории), сложившиеся в ре- зультате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия и повлекшие за собой большие людские, материальные или фи- нансовые потери. ЧС классифицируются: по источникам происхождения и по масштабам (количеству пострадавших, размеру материального ущерба, территории рас- пространения). Выделяют следующие причины возникновения ЧС: – природные (ураганы, землетрясения, наводнения и т.д.); – техногенные (поломки, аварии, взрывы); – антропогенные источники ЧС (неосторожность персонала, злой умысел и т.д.), связанные с деятельностью человека; – терроризм. На принятие решений в условиях ЧС существенное влияние оказывают следующие факторы: – неопределенность, связанная со сложностью сбора и обработки опера- тивной информации, а также возможным разрушением АС управления; – недостаток резервов и ресурсов; – ограниченность времени на принятие решения; – психофизиологическое состояние лиц, принимающих решения, и тех, кто испытал на себе последствия ЧС (шок, кровопотеря, страх, голод, и т.п.). 91 Главное в ЧС – это сохранение жизни людей и нормальное функциониро- вание систем жизнеобеспечения, в том числе КСЗИ. Все ЧС имеют 3 классических периода: 1) угрожаемый; 2) нейтрализации или предотвращения; 3) восстановления функционирования КСЗИ. В этой связи чрезвычайно важной является подготовка мероприятий на случай возникновения ЧС. Это может быть: 1. Заблаговременная подготовка, включающая: – прогнозирование потерь при ЧС; – расчет и формирование резерва, необходимого для сокращения потерь; – поддержание ресурсов в необходимой степени готовности. 2. Непосредственная подготовка – привлечение (частичное или полное) подготовленного резерва к работам по ликвидации последствий ЧС. Для КСЗИ в условиях ЧС необходимо разработать: – меры по защите наиболее важных и ценных носителей информации; – подробные инструкции, регламентирующие деятельность каждого со- трудника; – распределение обязанностей и ответственности за сохранность носите- лей информации; – материально-техническое обеспечение ЧС (маршруты перевозок, карты, адреса, и. т.п.). Особое внимание необходимо уделить созданию резервных копий жиз- ненно важной для функционирования комплексной системы информации. Различают следующие виды резервирования: 1) организационное; 2) техническое; 3) информационное. Среди методов резервирования выделяют: – полное дублирование; – инкрементальное (наращиваемое) резервирование; – дифференциальное резервирование. Полное резервирование обычно затрагивает всю КСЗИ и все защищаемые документы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование. При инкрементальном резервировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполня- лось полное или добавочное резервное копирование. Последующее резервиро- 92 вание добавляет только те файлы, которые были изменены с момента преды- дущего инкрементального резервирования. В среднем, этот вид резервирования требует меньше времени. Однако процесс восстановления данных занимает больше времени, так как объем восстанавливаемых данных увеличивается. При дифференциальном резервировании каждый файл, который был из- менен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления. Управление КСЗИ в ЧС сводится к разработке плана действий в возмож- ных ЧС и к проведению учений, тренировок персонала, и т.п. Главный показатель системы в ЧС – катастрофоустойчивость – способ- ность вычислительных систем сохранять работоспособность хотя бы в некото- ром минимальном объеме после возникновения ЧС. 26 . Состав методов и моделей оценки эффективности КСЗИ Эффективность системы – это свойство системы, характеризующее ее способность выполнять свою целевую функцию. Оценка эффективности – это процедура, направленная на определение качественных и количественных показателей эффективности, выявление кри- тических элементов системы, а также определение интегрального показателя эффективности системы в целом. Показатель эффективности (ПЭ) – это величина, характеризующая сте- пень достижения системой какой-либо из стоящих перед ней задач. Примером ПЭ является криптостойкость шифра, которая определяется временем или стоимостью взлома шифра. ПЭ должен: – иметь определенный физический смысл; – быть пригодным для количественного анализа; – иметь простую и удобную форму; – отражать одну из значимых сторон функционирования системы; – обеспечивать необходимую чувствительность. Чувствительность – способность объекта реагировать определённым образом на определённое ма- лое воздействие (изменение параметров и характеристик), а также количе- ственная характеристика этой способности. Все ПЭ можно разделить на 2 группы: 93 1. Единичные (частные), отражают какую-либо из значимых сторон функционирования системы (вероятность обнаружения нарушителя или веро- ятность его нейтрализации силами охраны и т.п.); 2. Комплексные (обобщенные), представляют собой комбинацию частных показателей. Кардинальным обобщающим показателем является показатель экономи- ческой эффективности системы, характеризующий целесообразность затрат, произведенных на создание и функционирование системы. Для того чтобы оценить эффективность системы ЗИ или сравнить систе- мы по их эффективности, необходимо задать некоторое правило предпочтения. Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности. Для оценки эффективности КСЗИ и получения критерия эффективности при использовании некоторого множества n показателей используют ряд методов: 1. Выбирается один главный показатель, и оптимальной считается систе- ма, для которой этот показатель достигает экстремума. При условии, что остальные показатели удовлетворяют системе ограничений, заданных в виде неравенств. 2. Методы, основанные на ранжировании показателей по важности. При сравнении систем одноименные показатели эффективности сопоставляются в порядке убывания их важности по определенным алгоритмам. 3. Мультипликативные и аддитивные методы получения критериев эф- фективности основываются на объединении всех или части показателей с по- мощью операций умножения или сложения в обобщенные показатели. Если в произведение (сумму) включается часть показателей, то остальные частные по- казатели включаются в ограничения. 4. Метод Парето: при использовании n показателей эффективности си- стеме соответствует точка в n-мерном пространстве. В n-мерном пространстве строится область парето-оптимальных решений, содержащая несравнимые ре- шения, для которых улучшение какого-либо показателя невозможно без ухуд- шения других показателей эффективности. Выбор наилучшего решения из чис- ла парето-оптимальных может осуществляться по различным правилам. Моделирование оценки эффективности КСЗИ сводится к построению аб- страктного образа всей системы с имитацией её основных характеристик в ин- тересах получения требуемых данных – показателей эффективности, как от- дельных компонентов, так и всей системы в целом. 94 |