Конспекты
по Основам управления информационной безопасности
Изучение методов построения комплексной защиты управления информационной безопасностью
Цель работы
Изучить методы построения комплексной защиты управления информационной безопасностью.
Теоретическая часть
Понятие и цели управления
Социотехнические системы, представляя собой единение человека и техники, всегда характеризуются определенными целями, которые ставят перед собой люди, достигая их с помощью технических средств, с которыми общаются через интеллектуального посредника. Причем цели и допустимые стратегии социотехнической системы в реальных ситуациях принятия решений по их защите зачастую субъективны и не могут быть точно определены. Это происходит преимущественно по той причине, что, помимо объективных законов, в их функционировании существенную роль играют субъективные представления, суждения, поступки и даже эмоции людей. Действительно, при исследовании безопасности объекта информатизации, расположенного на некотором предприятии, значительное количество информации об этом объекте может быть получено от различных групп людей:
- имеющих опыт управления предприятием и представляющих его цели и задачи, но не знающих досконально особенностей функционирования объекта информатизации;
- знающих особенности функционирования объекта информатизации, но не имеющих полного представления о его целях;
- знающих теорию и практику организации защиты, но не имеющих четких представлений о целях, задачах и особенностях функционирования объекта информатизации как системы в целом и т. п.
Решить проблему — значит удовлетворить потребность, ликвидировать несоответствие между желаемым и фактическим положением дел. Проблемы могут быть простыми и сложными. Можно различать также объектные, процессные и научно-исследовательские проблемы.
Проблемы различают также:
- по признаку социальной осознанности: личные, коллективные, общественные;
- до основному содержанию: экономические, социальные, политические, научные, технические;
- по возможности решения на основе целевых программ;
- программируемые и непрограммируемые.
Максимально эффективной защита информации будет лишь в том случае, если созданы надежные механизмы защиты, а в процессе функционирования системы осуществляется непрерывное управление этими механизмами.
КСЗИ должно быть предусмотрено два вида функций:
- функции, основной целью которых является создание механизмовзащиты;
- функции, осуществляемые с целью непрерывного и оптимального управлениямеханизмами защиты;
Современная концепция защиты информации, циркулирующей в помещениях или технических системах коммерческого объекта, требует не периодического, а постоянного контроля в зоне расположения объекта. Защита информации включает в себя целый комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами. Она должна решать такие задачи, как:
- предотвращение доступа злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения;
- защита носителей информации от уничтожения в результате различных воздействий;
- предотвращение утечки информации по различным техническим каналам
Управление определяется как элемент, функция организованных систем различной природы, обеспечивающая сохранность их определенной структуры, поддержание режимов деятельности, реализацию их программ и целей.
Главным направлением построения технологии организационного управления, удовлетворяющим перечисленным выше требованиям, является разработка технологий, на индустриальной основе в широким применением вычислительной техники и автоматизации технологических процессов управления.
Таким образом, первым шагом построения технологии управления, удовлетворяющей современным требованиям, является структуризация основных процессов управления, т. е. схематизация объектов, процессов или явлений до степени однозначного определения каждого элемента.
Структуризация основных процессов технологии управления является не только этапом разработки технологии управления, но и сама по себе позволяет в значительной степени повысить эффективность управления за счет рационализации и единой организации управления труда независимо от степени использования в управлении средств автоматизации.
Структуризация процессов позволяет сама по себе независимо от использования средств автоматизации значительно повысить эффективность управления за счет лучшей ее организации. Поэтому функционирование системы управления в самом общем виде можно представить как разработку планов функционирования управляемых объектов и их реализацию.
Требования, предъявляемые к системам управления, по которым можно судить о степени организованности систем:
- детерминированность элементов;
- динамичность системы;
- наличие в системе управляющего параметра;
- наличие в системе контролирующего параметра;
- наличие в системе каналов (по крайней мере, одного) обратнойсвязи
Планирование деятельности
Вся сложная совокупность управленческих действий — на любом уровне и в любой системе — может быть сведена к перечню функций, составляющих замкнутый цикл управления:
- принятие управленческого решения;
- реализация решения;
- контроль.
Планирование как функция управления имеет сложную структуру и реализуется через свои подфункции: прогнозирование, моделирование и программирование.
Прогнозирование — это метод научно обоснованного предвидения возможных направлений будущего развития организации, рассматриваемой в тесном взаимодействии с окружающей ее средой. Прогнозы носят вероятностный характер, но, если прогнозирование выполняется качественно, результатом станет прогноз будущего, который вполне можно использовать как основу для планирования.
Обобщенные цели планирования регламентируют общий целевой подход в процессе разработки плана, а именно, выделяются две постановки целей:
- если достижение некоторого результата является обязательным условием планируемой деятельности, то план должен разрабатываться таким образом, чтобы этот результат достигался при минимальных затратах ресурсов, т. е. нам задан результат, который должен быть достигнут при минимальном расходе ресурсов;
- если для планируемых действий выделяются ограниченные ресурсы, то план должен быть разработан таким образом, чтобы при расходовании выделенных ресурсов достигался наибольший конечный результат, т. е. нам заданы ресурсы и при заданных ресурсах необходимо достичь максимального результата
Формы планирования в зависимости от длительности планового периода:
- перспективное планирование (на 5 и более лет). При данном виде планирования нет ограничений по ресурсам;
- среднесрочное планирование (от 1 до 5 лет). При данном виде планирования есть резерв ресурсов, который может быть использован;
- текущее (рабочее) планирование (от 1 мес. до 1 года). Используют только имеющиеся ресурсы.
Планирование может быть организовано разными способами:
- Анализ. При таком способе планирования на самом высшем уровне разрабатываются основные компоненты плана: цели, задачи, возможные условия, выделенные ресурсы и др. Определяются основные задачи подразделений. Также на уровне подразделений — анализируют цели, задачи, ресурсы, сроки на уровне подразделений. Аналогично происходит на низшем уровне.
- Синтез. В этом случае сначала составляют планы на низшем уровне, которые затем, последовательно обобщенные, синтезируют в соответствии и иерархической структурой.
- Итерация. При таком способе определяют отправные установки планирования и на их основе вырабатывается первое приближение плана. На основе наилучшего варианта уточняются и корректируются исходные установки и разрабатывается следующее приближение плана и так до тех пор, пока не будет получен приемлемый вариант плана, который должен удовлетворять требованиям, как отдельных структур, так и всей системы в целом.
В процессе планирования должны быть выделены следующие стадии.
- Обоснование целей и критериев, которое заключается в формулировании целей, которые представляют собой совокупность желаемых результатов и имеют иерархическую структуру. Плановые цели должны обеспечивать основу для единообразного планирования на всех уровнях управления, предпосылки для последующего более детального планирования, основу для руководства выполнения планов, для мотивации поведения людей, т. е. понимании ими значения выполняемых работ; основу для четкого распределения ответственности и децентрализации планирования на всех уровнях управления, для координации различной деятельности функциональных подразделений аппарата управления КСЗИ; - выборе критериев, который определяется целями планируемой деятельности.
- Анализ условий. На этой стадии анализируются условия, в которых будет осуществляться планируемая деятельность. Анализу подлежат как внешние условия, так и внутренние (организационная структура, характеристики персонала, имеющиеся технологические схемы и т. д.). Кроме того, в ходе функционирования КСЗИ могут возникнуть различные непредвиденные ситуации а также система будет испытывать на себе воздействие дестабилизирующих факторов.
- Формирование задач. Осуществляется постановка задачи и формируется комплекс задач, решение которых приведет к достижению конкретных плановых целей, а также определяются метода и разрабатываются процедуры решения каждой задачи.
- Анализ ресурсов, которые могут быть использованы для решения задач. Анализируют материальные (информационные, технические, программные, математические, лингвистические) и людские ресурсы. Разрабатываются прогнозы изменения этих ресурсов в процессе реализации планов. Определение факторов, влияющих на удовлетворение потребностей в ресурсах, зависит от вида планирования, т. е. от длительности планируемого периода.
- Согласование целей, задач, условий, ресурсов. На этой стадии происходит выделение комплексов задач в соответствии с целями и условиями распределения ресурсов по задачам и закрепление за каждой задачей конкретных исполнителей.
- Определение последовательности выполнения задач. Происходит путем установления взаимосвязи результатов решений задач. Определяет время, необходимое для выполнения каждой задачи, сроки выполнения, определяются ответственные за выполнение задач.
- Определение методов контроля выполнения планов: зависит от целей планирования, выбранных критериев, а также подхода и методов планирования; - включает в себя определение параметров плана и разработку соответствующих процедур контроля.Методы контроля будут эффективны только тогда, когда они выявляют характер и причины отклонения от плана.
- Определение порядка корректировки планов. Порядок должен быть регламентирован. Корректировка должна проводиться в той мере, в какой это необходимо для достижения поставленных целей. На этой стадии определяются параметры планов, подлежащих корректировке, условия корректировки планов, способы корректировки и разрабатываются процедуры корректировки планов.
Негласный контроль осуществляется с целью объективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников, вынуждая их более тщательно выполнять требования по обеспечению ЗИ. Добросовестное и постоянное выполнение сотрудниками требований по ЗИ основывается на рациональном сочетании способов побуждения и принуждения. Принуждение — способ, при котором сотрудники вынуждены соблюдать правила обращения с носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности. Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по ЗИ моральных, этических, психологических и других нравственных мотивов. Поэтому на эффективность защиты влияет климат на предприятии, который формируется его руководством.
Контрольные вопросы
Что называется, системой управления информационной безопасностью?
Согласно ISO 27001, система управления информационной безопасностью (СУИБ) — это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.
Какие стадии включает в себя процесс контроля целостности системы защиты информации?
- Установление фактического состояния СЗИ
- Анализ сравнения фактического положения с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;
- Разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.
Что называется, системой управления информационной безопасностью?
Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.
Что называется, системой управления информационной безопасностью?
Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ.
Контроль:
- Предварительный
- Текущий
- Заключительный