МЕТОДЫ УПРАВЛЕНИЯ И ОРГАНИЗАЦИИ РАБОТ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В НОРМАЛЬНЫХ УСЛОВИЯХ И ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЯХ

Основными мероприятиями организации работ по обеспечению ЗИ являются [41]:

  • 1) определение требований к системе ЗИ;
  • 2) определение и подготовка лиц, ответственных за обеспечение безопасности информации, а также назначение исполнителей, которым поручаются разработка и эксплуатация систем защиты информации;
  • 3) проектирование, создание и эксплуатация системы ЗИ;
  • 4) научно-методологическое и документальное обеспечение работ по ЗИ;
  • 5) установление мер контроля и ответственности за соблюдение всех правил защиты информации.

При определении требований к системе ЗИ необходимо учитывать ряд факторов'.

  • — характер обрабатываемой информации (общедоступная, ограниченного пользования, конфиденциальная, секретная и т.п.);
  • — объем обрабатываемой информации (количество носителей информации);
  • — продолжительность пребывания информации в системе обработки (информация разового пользования, временного хранения, длительного хранения и т.п.);
  • — структура системы обработки информации;
  • — вид защищаемой информации (документальная, речевая, преобразованная в сигналы и т.п.);
  • — возможности злоумышленников и т.д.

В зависимости от возможности выполнения этих требований объекты обработки информации могут быть отнесены к соответствующим классам защищенности, устанавливаемым документом Гостех-комиссии (в настоящее время Федеральная служба по техническому и экспортному контролю (ФСТЭК)) «Автоматизированные системы (АС). Защита от несанкционированного доступа к информации.

Классификация АС и требования к защите информации», выпущенном в 1997 г.

При определении и подготовке лиц, ответственных за обеспечение безопасности информации, необходимо учитывать, что система защиты по своему функциональному предназначению и структуре является человекомашинной системой. Специфика ее такова, что человек является в ней не только основным структурным элементом, но и носителем сведений как об информации, обрабатываемой в системе, так и о принципах построения самой системы защиты. Следовательно, сотрудники, участвующие в процессе защиты информации, потенциально могут стать непосредственными источниками таких угроз информации, как сбои и ошибки в эксплуатации систем обработки. Так, по статистике в 70—80% случаев утечка секретной информации происходит по вине сотрудников объектов, на которых она обрабатывается.

Работы по проектированию, созданию и эксплуатации системы ЗИ являются наиболее ресурсоемкими как по времени, так и по материальным и трудовым затратам.

Данные работы выполняются в три этапа:

  • — на подготовительном этапе изучаются и оцениваются все факторы, влияющие на ЗИ;
  • — на этапе основных работ принимается принципиальное решение о необходимом уровне защиты, а также осуществляется проектирование системы ЗИ;
  • — на этапе заключительных работ производится оценка системы ЗИ, причем как по критериям эффективности, так и по техникоэкономическим показателям.

Однако, как показал многолетний опыт, какими бы ни были совершенными проект системы ЗИ и его первоначальная реализация, в процессе функционирования объекта неизбежно возникают непредвиденные обстоятельства, обусловливаемые, с одной стороны, действиями факторов, не учтенных на этапе создания системы защиты, а с другой — изменениями, происходящими в процессе функционирования этих объектов. В связи с этим неизбежно возникает необходимость изменения, совершенствования системы защиты, и весь процесс организации работ по защите удобно представить в виде процедуры, структура и содержание которой представлены на рис. 1.6.

Система научно-методологического и документального обеспечения работ по ЗИ является своеобразным базисом процесса защиты информации. Основным элементом этой системы является типовой документ, который корректно отработан, прошел апробацию и утвержден полномочными органами в качестве типового. Следует отметить, что какого-либо утвержденного перечня типовых документов в настоящее время нет. Условно типовые документы представляются совокупностью пяти групп документов:

  • 1) справочно-информационных;
  • 2) нормативно-правовых;
  • 3) руководящих методических материалов;
  • 4) инструктивных;
  • 5) регистрационных.
Структура и содержание цикла работ по защите

Рис. 1.6. Структура и содержание цикла работ по защите

информации

Основное назначение документов может быть сформулировано следующим образом:

  • — обеспечение научно-методологического и концептуального единства при решении всех вопросов защиты информации;
  • — создание условий для однозначного понимания и практической реализации основных положений унифицированной концепции защиты информации;
  • — доведение необходимых данных до всех органов и лиц, участвующих в защите информации;
  • — обеспечение нормативно-правового регулирования процессов защиты;
  • — регистрация носителей конфиденциальной информации и работ, связанных с информационной безопасностью.

На этапеустановления мер контроля и ответственности за соблюдением всех правил защиты информации основной задачей является получение сведений о параметрах и показателях безопасности информации и эффективности функционирования механизмов защиты для выработки необходимых воздействий на контролируемую систему или условия ее функционирования в целях обеспечения максимального эффекта от использования ее по назначению.

Управленческие мероприятия по защите процессов обработки информации заключаются в разработке и реализации административно-организационных и технических мер при подготовке и эксплуатации системы ЗИ в нормальных условиях и чрезвычайных ситуациях.

Основными процессами управления по обеспечению ЗИ являются планирование, оперативное управление, календарно-плановое руководство.

Планирование защиты информации есть процесс обработки программы оптимального использования в предстоящий (планируемый) период обработки информации имеющихся средств защиты. При этом под оптимальностью использования средств защиты понимается достижение одной из двух целей: или достижение максимальной защищенности информации при заданных расходах на защиту, или достижение заданной защищенности информации при минимальных расходах на защиту.

Основные задачи оперативного управления заключаются в:

  • — регулировании использования средств защиты информации в процессе ее обработки;
  • — сборе, обработке и организации массива оперативных данных, относящихся к защите информации;
  • — непрерывном распознании ситуации относительно защищенности информации;
  • — принятии решения на оперативное вмешательство в функционирование системы ЗИ;
  • — реализации принятых решений;
  • — анализе и прогнозировании развития ситуации;
  • — разработке предложений по корректировке плана защиты информации;
  • — обработке учетно-отчетных документов.

Основными функциями календарно-планового руководства являются принятие текущих решений, связанных с обеспечением выполнения текущих плановых задач, и слежение за ходом выполнения плана. Осуществление первой функции заключается в принятии плановых решений, т.е. таких, которые обусловливаются естественным ходом выполнения плана. Слежение заходом выполнения плана заключается в периодической оценке соответствия действительного протекания управляемой деятельности запланированному. Если в какой-либо момент времени отклонение действительного хода деятельности от запланированного превысит допустимую норму, то в план должны быть внесены необходимые коррективы.

Для обеспечения регулярной и эффективной защиты информации большое значение имеет повседневная деятельность всех органов и лиц, имеющих отношение к защите. К организационным мероприятиям по защите процессов переработки информации в процессе управления системой защиты относятся:

  • — обеспечение на необходимых участках проведения работ с режимом секретности;
  • — противодействие техническим разведкам;
  • — разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;
  • — при необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;
  • — разграничение задач по исполнителям и выпуску документации;
  • — присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителен;
  • — обеспечение безопасности шифрованной связи (если гаковая имеется на объекте);
  • — постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;
  • — проведение специальных проверок;
  • — установление ответственных лиц за утечку информации.

Защита процессов переработки информации в чрезвычайных ситуациях, особенно в аварийных, заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД в информационной системе в условиях отказов ее функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.

Практика показывает, что хотя аварийная ситуация — событие редкое (ее появление может быть вызвано множеством причин, в том числе не зависящих от человека, и эти причины могут быть взаимосвязаны), защита от нес необходима, так как последствия в результате ее воздействия, как правило, могут оказаться весьма тяжелыми, а потери — безвозвратными. Затраты на защиту от аварийных ситуаций могут быть относительно малы, а эффект в случае аварии — большим.

Под чрезвычайной ситуацией природного или техногенного характера понимается обстановка на определенной территории, сложившаяся в результате аварии, опасного природного явления, катастрофы или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью или окружающей природной среде, значительные потери и нарушение условий жизнедеятельности людей.

К числу природных катастроф следует отнести:

  • — землетрясения и оползни;
  • — наводнения, обусловленные ливнями и прорывами плотин;
  • — разрушения, вызванные мощными ветровыми нагрузками;
  • — поражение информационных систем электрическими разрядами.

К числу угроз техногенного характера следует отнести:

  • — отказы систем жизнеобеспечения;
  • — пожары;
  • — взрывы за счет утечки бытового газа;
  • — отравление атмосферы и земли химическими веществами;
  • — взрывы криминогенного характера.

Наиболее уязвимыми объектами обеспечения ЗИ в условиях чрезвычайных ситуаций являются:

  • — система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций;
  • — система принятия решений по оперативным действиям (реакциям), связанным с развитием таких ситуаций и ходом ликвидации их последствий.

Особое значение для нормального функционирования указанных систем имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней отдельных лиц или групп лиц могут привести как к человеческим жертвам, так и к возникновению разного рода сложностей при ликвидации последствий чрезвычайной ситуации, связанных с особенностями информационного воздействия в экстремальных условиях: к приведению в движение больших масс людей, испытывающих психический стресс; быстрому возникновению и распространению среди них паники и беспорядков на основе слухов, ложной или недостоверной информации.

К специфическим для данных условий направлениям обеспечения ЗИ относятся:

  • — разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, и прогнозирования чрезвычайных ситуаций;
  • — совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, условиях их возникновения и развития;
  • — повышение надежности систем обработки и передачи информации, обеспечивающих деятельность федеральных органов исполнительной власти;
  • — прогнозирование поведения населения под воздействием ложной или недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по оказанию помощи большим массам людей в условиях этих ситуаций;
  • — разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами [41].
 
< Пред   СОДЕРЖАНИЕ     След >