Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 792
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ных, их ведения, выполнения различных операций с ними, вклю
чая стыковку с расчетными программами и т.п.; 4) персонал под
держки.
Вычислительная поддержка ППР при планировании КСЗИ строится на использовании разнообразных моделей КСЗИ и про
цессов подготовки и принятия решений. Для того чтобы помочь должностным лицам органов управления в решении сложных за
дач планирования, специалисты создают математические модели и алгоритмы получения информации, нужной, в конечном счете, для квалифицированного принятия решения. В настоящее время широкое применение в КСЗИ нашли автоматизированные ин
формационно-расчетные системы, позволяющие выполнять вы
числения как по сравнительно простым формулам, так и по слож
ным моделям оптимизационного характера. При работе таких систем к должностным лицам попадают уже результаты расчетов, которым они дают окончательную оценку.
Диалоговые возможности информационной и вычислительной поддержки решений позволяют обеспечить многовариантность расчетов при использовании различных математических моделей.
Это означает, что до принятия окончательного решения ЛПР имеет возможность сгенерировать и проверить с помощью системы под
держки ППР различные варианты решения интересующей его задачи, сочетая возможности формальных моделей и неформаль
ных суждений и оценок, как своих собственных, так и привлека
емых экспертов.
16.6. Организация выполнения планов
Организация выполнения планов (далее — оперативное управ
ление) представляет собой циклически повторяющийся процесс по непосредственному воздействию на объекты управления с це
лью реализации плановых решений.
Наряду с планированием оперативное управление в КСЗИ яв
ляется одной из основных функций управленческой деятельно
сти. Оно осуществляется постоянно. Основными функциями опе
ративного управления в КСЗИ являются: принятие решений; по
становка задач; контроля их исполнения.
• Принятие решений при оперативном управлении предпола
гает выработку соответствующих воздействий, направленных на устранение рассогласованности между реальным и плановым со
стояниями КСЗИ.
• Постановка задач — это процесс формирования и выдачи
(доведения) подчиненным должностным лицам распоряжений, приказов и команд в ходе функционирования СЗИ.
чая стыковку с расчетными программами и т.п.; 4) персонал под
держки.
Вычислительная поддержка ППР при планировании КСЗИ строится на использовании разнообразных моделей КСЗИ и про
цессов подготовки и принятия решений. Для того чтобы помочь должностным лицам органов управления в решении сложных за
дач планирования, специалисты создают математические модели и алгоритмы получения информации, нужной, в конечном счете, для квалифицированного принятия решения. В настоящее время широкое применение в КСЗИ нашли автоматизированные ин
формационно-расчетные системы, позволяющие выполнять вы
числения как по сравнительно простым формулам, так и по слож
ным моделям оптимизационного характера. При работе таких систем к должностным лицам попадают уже результаты расчетов, которым они дают окончательную оценку.
Диалоговые возможности информационной и вычислительной поддержки решений позволяют обеспечить многовариантность расчетов при использовании различных математических моделей.
Это означает, что до принятия окончательного решения ЛПР имеет возможность сгенерировать и проверить с помощью системы под
держки ППР различные варианты решения интересующей его задачи, сочетая возможности формальных моделей и неформаль
ных суждений и оценок, как своих собственных, так и привлека
емых экспертов.
16.6. Организация выполнения планов
Организация выполнения планов (далее — оперативное управ
ление) представляет собой циклически повторяющийся процесс по непосредственному воздействию на объекты управления с це
лью реализации плановых решений.
Наряду с планированием оперативное управление в КСЗИ яв
ляется одной из основных функций управленческой деятельно
сти. Оно осуществляется постоянно. Основными функциями опе
ративного управления в КСЗИ являются: принятие решений; по
становка задач; контроля их исполнения.
• Принятие решений при оперативном управлении предпола
гает выработку соответствующих воздействий, направленных на устранение рассогласованности между реальным и плановым со
стояниями КСЗИ.
• Постановка задач — это процесс формирования и выдачи
(доведения) подчиненным должностным лицам распоряжений, приказов и команд в ходе функционирования СЗИ.
•
Сущность контроля заключается в сборе данных, характери
зующих состояние объектов управления (информации состояния), и в анализе причин возможного срыва выполнения поставленных задач.
Следует всегда помнить, что эффективность оперативного уп
равления в целом тесно связана с качеством разработанного пла
на, в том числе совокупности прогнозируемых воздействий (ко
манд) для его реализации. Воздействия, переданные к исполне
нию объектом управления, превращают план в действительность.
Вместе с тем из-за влияния многочисленных внешних факторов среды переход системы в необходимое состояние может осуще
ствляться с отклонениями от плана. Это приводит к рассогласова
нию плана с реальным поведением управляемого объекта.
Чтобы осуществлять оперативное управление КСЗИ, надо уметь прежде всего определять степень расхождения действительного поведения объекта управления от планового и при необходимо
сти корректировать плановые управляющие воздействия с целью максимального устранения выявленного рассогласования. Кроме того, под влиянием тех же внешних условий или по каким-либо другим причинам может меняться как траектория поведения объек
та управления, так и цель управления. Следовательно, и это важ
но, надо уметь корректировать план в целом.
Вырабатывать план и управляющие воздействия для его реали
зации необходимо таким образом, чтобы объект управления имел возможность их выполнения с минимальными затратами ресур
сов, т.е. из всех воздействий надо уметь выбирать оптимальные или близкие к оптимальным.
Как для процесса управления в целом, так и для оперативного управления в частности основу деятельности должностных лиц составляют процедуры (работы), направленные на выработку обо
снованных решений и соответствующих им управляющих воздей
ствий (команд).
Исходя из целевого предназначения и условий функциониро
вания объектов управления, можно выделить три основных клас
са задач оперативного управления КСЗИ:
1) задачи по созданию (построению, развертыванию), эксплуа
тационному обслуживанию, наращиванию и восстановлению
КСЗИ;
2) задачи по защите, безопасности и всестороннему обеспече
нию КСЗИ;
3) задачи, направленные на организацию информационного обмена в КСЗИ.
Общая типовая схема решения задач оперативного управ
ления в КСЗИ может быть представлена следующим образом:
1) сбор данных о состоянии элементов КСЗИ и условиях их функционирования; данные о состоянии объектов управления
поступают, как правило, от подчиненных и взаимодействующих пунктов управления нижнего уровня иерархии;
2) учет (документирование) полученной информации (в том числе техническими средствами);
3) анализ полученной информации: определение соответствия между фактическим и плановым состоянием объекта управления;
4) сбор — при необходимости — дополнительной информации и принятие решений;
5) оформление принятого решения и постановка задач испол
нителям для его реализации;
6) контроль выполнения принятого решения.
Прежде всего оперативное управление — это процесс воздей
ствия управляющего органа на объект управления. Чтобы управ
ляющее воздействие могло направлять поведение объекта управ
ления на достижение поставленной цели (приведение в плановое состояние), оно должно удовлетворять трем основным требова
ниям:
1) своевременность выработки и передачи управляющего воз
действия на объект управления;
2) правильность определения характера действия, которое дол
жен выполнить объект управления;
3) однозначность понимания того, какое именно действие объект управления должен выполнить.
Эти требования предъявляются к значениям показателей соот
ветствующих свойств:
• оперативность — способность органов управления своевре
менно исправлять или направлять действия объектов управления;
• обоснованность — способность органов управления находить нужное (адекватное, правильное) воздействие, выбор которого подтверждается фактами или серьезными доводами;
• категоричность — способность передавать воздействие на управляемый объект в ясной, безусловной, не допускающей иных толкований форме.
2) учет (документирование) полученной информации (в том числе техническими средствами);
3) анализ полученной информации: определение соответствия между фактическим и плановым состоянием объекта управления;
4) сбор — при необходимости — дополнительной информации и принятие решений;
5) оформление принятого решения и постановка задач испол
нителям для его реализации;
6) контроль выполнения принятого решения.
Прежде всего оперативное управление — это процесс воздей
ствия управляющего органа на объект управления. Чтобы управ
ляющее воздействие могло направлять поведение объекта управ
ления на достижение поставленной цели (приведение в плановое состояние), оно должно удовлетворять трем основным требова
ниям:
1) своевременность выработки и передачи управляющего воз
действия на объект управления;
2) правильность определения характера действия, которое дол
жен выполнить объект управления;
3) однозначность понимания того, какое именно действие объект управления должен выполнить.
Эти требования предъявляются к значениям показателей соот
ветствующих свойств:
• оперативность — способность органов управления своевре
менно исправлять или направлять действия объектов управления;
• обоснованность — способность органов управления находить нужное (адекватное, правильное) воздействие, выбор которого подтверждается фактами или серьезными доводами;
• категоричность — способность передавать воздействие на управляемый объект в ясной, безусловной, не допускающей иных толкований форме.
Гл а в а 17
Сущность и содержание контроля
функционирования
1 7 .1 .
Виды контроля функционирования
КСЗИ
Контроль в общем виде является одной из основных функций управления, вызванной необходимостью обратной связи между субъектом и объектами управления для достижения поставленной цели.
В целом процесс контроля можно разбить на последователь
ные этапы: формулирование цели -» формирование стандартов
-» разработка критериев оценки -» разработка систем показате
лей -> проведение процедуры сравнительного анализа —> обобще
ние полученной информации и корректировка деятельности.
• Основные требования к контролю: комплексность; свое
временность; стандартизация; простота; доступность; гибкость; объективность; экономичность.
• Общие цели контроля: уменьшение отклонений от заданных норм; уменьшение неопределенной деятельности; предотвраще
ние кризисных ситуаций.
• Современные виды контроля: мониторинг — непрерывное поступление информации; контроллинг — оценка экономично
сти; бенчмаркинг (управленческое воздействие, заключающееся во внедрении в практику деятельности организации технологий, стандартов и методов деятельности более успешных организаций — аналогов).
Контроль функционирования КСЗИ можно разделить на два основных вида — внешний и внутренний. Внешний контроль функ
ционирования КСЗИ осуществляется различного рода государ
ственными органами, а также может осуществляться аудиторски
ми организациями.
Внутренний контроль осуществляется службой безопасности предприятия и подразделением защиты информации предприятия.
Внешний контроль отслеживает обеспечение защиты (1) госу
дарственной тайны и (2) персональных данных:
Контроль за обеспечением защиты государственной тайны подразделяется на межведомственный и ведомственный. Он осу
ществляется в органах государственной власти, на предприятиях, в учреждениях и организациях федеральным органом исполни
тельной власти, уполномоченным в области обеспечения без
опасности; федеральным органом исполнительной власти, упол
номоченным в области обороны; федеральным органом исполни
тельной власти, уполномоченным в области внешней разведки; федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и их территориальными органами, на кото
рые эта функция возложена законодательством Российской Фе
дерации.
Органы государственной власти, наделенные полномочиями по распоряжению сведениями, составляющими государственную тай
ну, обязаны контролировать эффективность защиты этих сведе
ний во всех подчиненных и подведомственных им органах госу
дарственной власти, на предприятиях, в учреждениях и организа
циях, осуществляющих работу с ними [20].
Контроль за обеспечением защиты персональных данных осу
ществляется федеральным органом исполнительной власти, упол
номоченным в области обеспечения безопасности, и федераль
ным органом исполнительной власти, уполномоченным в облас
ти противодействия техническим разведкам и технической защи
ты информации, в пределах их полномочий и без права ознаком
ления с персональными данными, обрабатываемыми в информа
ционных системах персональных данных.
Контроль и надзор за соответствием обработки персональных данных требованиям федерального закона [47] осуществляет фе
деральный орган исполнительной власти, осуществляющий функ
ции по контролю и надзору в сфере информационных технологий и связи.
Внутренний контроль осуществляется в отношении защиты всех видов информации с ограниченным доступом. Проводится руководством предприятия, внутренними проверочными комис
сиями, службой безопасности и подразделением защиты инфор
мации. Подразделяется на текущий (постоянный), периодичес
кий (плановый) и внезапный.
17.2. Цель проведения контрольных
мероприятий в КСЗИ
Целью контроля является установление степени соответствия принимаемых мер по защите информации требованиям законо
дательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и
тельной власти, уполномоченным в области обеспечения без
опасности; федеральным органом исполнительной власти, упол
номоченным в области обороны; федеральным органом исполни
тельной власти, уполномоченным в области внешней разведки; федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, и их территориальными органами, на кото
рые эта функция возложена законодательством Российской Фе
дерации.
Органы государственной власти, наделенные полномочиями по распоряжению сведениями, составляющими государственную тай
ну, обязаны контролировать эффективность защиты этих сведе
ний во всех подчиненных и подведомственных им органах госу
дарственной власти, на предприятиях, в учреждениях и организа
циях, осуществляющих работу с ними [20].
Контроль за обеспечением защиты персональных данных осу
ществляется федеральным органом исполнительной власти, упол
номоченным в области обеспечения безопасности, и федераль
ным органом исполнительной власти, уполномоченным в облас
ти противодействия техническим разведкам и технической защи
ты информации, в пределах их полномочий и без права ознаком
ления с персональными данными, обрабатываемыми в информа
ционных системах персональных данных.
Контроль и надзор за соответствием обработки персональных данных требованиям федерального закона [47] осуществляет фе
деральный орган исполнительной власти, осуществляющий функ
ции по контролю и надзору в сфере информационных технологий и связи.
Внутренний контроль осуществляется в отношении защиты всех видов информации с ограниченным доступом. Проводится руководством предприятия, внутренними проверочными комис
сиями, службой безопасности и подразделением защиты инфор
мации. Подразделяется на текущий (постоянный), периодичес
кий (плановый) и внезапный.
17.2. Цель проведения контрольных
мероприятий в КСЗИ
Целью контроля является установление степени соответствия принимаемых мер по защите информации требованиям законо
дательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и
несанкционированного (неправомерного, противоправного) до
ступа к информации, выработка рекомендаций по закрытию этих каналов.
• Основные задачи контроля:
— оценка деятельности органов управления по методическому руководству и координации работ в области зашиты информации в подчиненных подразделениях;
— выявление каналов утечки информации об объектах зашиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;
— выявление работ с защищаемой информацией, выполняе
мых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;
— анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
— анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подго
товка предложений по совершенствованию защиты информации;
— предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.
• Направлениями контроля состояния защиты информации являются:
— контроль деятельности и состояния работ по противодей
ствию ИТР и технической защите;
— контроль с применением технических средств эффективно
сти мер защиты объектов, информационных систем, средств и систем связи и управления на всех стадиях их жизненного цикла;
— контроль эффективности защиты автоматизированных си
стем обработки информации от несанкционированного доступа, от специальных воздействий на информацию и средства ее обра
ботки с целью разрушения, уничтожения, искажения и блокиро
вания информации;
— контроль эффективности мероприятий по защите информа
ции в системах связи автоматизированного управления;
— контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятия, вы
полняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании от
крытых каналов радио- и радиорелейных, тропосферных и спут
никовых линий связи, доступных для радиоразведки.
• Система контроля состояния защиты информации бази
руется на следующих основных принципах:
— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые
ступа к информации, выработка рекомендаций по закрытию этих каналов.
• Основные задачи контроля:
— оценка деятельности органов управления по методическому руководству и координации работ в области зашиты информации в подчиненных подразделениях;
— выявление каналов утечки информации об объектах зашиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;
— выявление работ с защищаемой информацией, выполняе
мых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;
— анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
— анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подго
товка предложений по совершенствованию защиты информации;
— предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.
• Направлениями контроля состояния защиты информации являются:
— контроль деятельности и состояния работ по противодей
ствию ИТР и технической защите;
— контроль с применением технических средств эффективно
сти мер защиты объектов, информационных систем, средств и систем связи и управления на всех стадиях их жизненного цикла;
— контроль эффективности защиты автоматизированных си
стем обработки информации от несанкционированного доступа, от специальных воздействий на информацию и средства ее обра
ботки с целью разрушения, уничтожения, искажения и блокиро
вания информации;
— контроль эффективности мероприятий по защите информа
ции в системах связи автоматизированного управления;
— контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятия, вы
полняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании от
крытых каналов радио- и радиорелейных, тропосферных и спут
никовых линий связи, доступных для радиоразведки.
• Система контроля состояния защиты информации бази
руется на следующих основных принципах:
— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые
объекты и обеспечивающими эффективность и действенность контроля;
— независимость органов контроля от должностных лиц конт
ролируемых объектов при осуществлении полномочий;
— соблюдение законности в работе органов контроля и их дол
жностных лиц;
— системность и регулярность в проведении контроля;
— профессионализм сотрудников органов контроля, примене
ние ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;
— объективность анализа обстоятельств и причин нарушений в состоянии защиты информации;
— наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и не
достатков;
— экономическая целесообразность функционирования конт
рольных органов — оптимальное сочетание результативности де
ятельности органов с затратами на их содержание.
•
В функции органа контроля входят следующие обязанно
сти:
— организация и осуществление контроля силами подразделе
ний ЗИ и специализированных организаций;
— сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;
— информирование руководства предприятия об эффективно
сти мер и состоянии работ по защите информации.
Проведение текущего (постоянного) контроля возлагается на
объектовые органы в целях обеспечения установленного порядка функционирования средств защиты, соблюдения установленных режимов работы технических средств, в которых циркулирует за
щищаемая информация, выполнения установленных мер защи
ты, контроля за правильностью реализации правил разграниче
ния доступа к информации в автоматизированных системах ее обработки, выявления и пресечения нарушений в области техни
ческой защиты информации.
В зависимости от объема работ по технической защите инфор
мации и контролю, функции объектового органа контроля по ре
шению руководителя организации могут выполняться подразде
лением защиты информации либо специально созданными объек
товыми органами контроля.
Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; ата
ки; отзыв и изучение документов и др.
— независимость органов контроля от должностных лиц конт
ролируемых объектов при осуществлении полномочий;
— соблюдение законности в работе органов контроля и их дол
жностных лиц;
— системность и регулярность в проведении контроля;
— профессионализм сотрудников органов контроля, примене
ние ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;
— объективность анализа обстоятельств и причин нарушений в состоянии защиты информации;
— наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и не
достатков;
— экономическая целесообразность функционирования конт
рольных органов — оптимальное сочетание результативности де
ятельности органов с затратами на их содержание.
•
В функции органа контроля входят следующие обязанно
сти:
— организация и осуществление контроля силами подразделе
ний ЗИ и специализированных организаций;
— сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;
— информирование руководства предприятия об эффективно
сти мер и состоянии работ по защите информации.
Проведение текущего (постоянного) контроля возлагается на
объектовые органы в целях обеспечения установленного порядка функционирования средств защиты, соблюдения установленных режимов работы технических средств, в которых циркулирует за
щищаемая информация, выполнения установленных мер защи
ты, контроля за правильностью реализации правил разграниче
ния доступа к информации в автоматизированных системах ее обработки, выявления и пресечения нарушений в области техни
ческой защиты информации.
В зависимости от объема работ по технической защите инфор
мации и контролю, функции объектового органа контроля по ре
шению руководителя организации могут выполняться подразде
лением защиты информации либо специально созданными объек
товыми органами контроля.
Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; ата
ки; отзыв и изучение документов и др.