Гришина Н.В. Организация комплексной системы защиты информации
Подождите немного. Документ загружается.
нормативного
функционирования
объекта.
Задачей системы
управления ЧС в этом
режиме является
оперативное и
долгосрочное
планирование
действий по
смягчению или
полной ликвидации
последствий ЧС.
Принятие и
реализация решения
— сложные процессы
управленческой
деятельности, в
которых, как в ника-
ких других, от
руководства органов
управления
требуются
компетентность,
высокая оперативная
подготовка, знания и
навыки
использования
техники, умение
ставить цели и
достигать их, брать
ответственность на
себя. Решения в ус-
ловиях ЧС
принимаются в
различной
оперативной обста-
новке, включая
кризисную, и в
крайне ограниченное
время. Однако оно
должно быть принято
своевременно, быть
максимально
обоснованным и
обеспечивать
наиболее полное и
эффективное
использование
имеющихся
возможностей.
Для этого
требуется четкое
уяснение
руководством целей и
задач операции,
всесторонняя и
объективная оценка
обстановки,
компетентность.
Говоря о принятии
решений, следует
иметь в виду
следующие основные
составляющие этого
сложного процесса:
сбор и подготовка
исходящих данных,
построение модели
ЧС, формулировка
(принятие) решения
руководителем,
конкретизация и
детализация решения
в плане операции,
доведение данного
решения до
исполнителей, а также
организация,
оперативное управле-
ние и контроль за его
реализацией.
Информационн
ая поддержка
принятых
решений
При управлении
в условиях ЧС не
существует затрат, не
связанных с
использованием
информации.
Информация,
информационный
фонд в условиях ЧС
становятся основным
ресурсам
эффективного
принятия решений,
направленных на
ликвидацию ЧС.
Как правило, в
условиях ЧС
основной проблемой
в принятии и
реализации
эффективных
управленческих ре-
шений является
недостаток не
ресурсов и капитала, а
информации,
необходимой для
использования этих
ресурсов и капитала с
наибольшим успехом.
Информация о
возможности
возникновения ЧС и
тенденциях ее
развития поступает в
систему управления в
ходе изучения
обстановки.
Степень
предсказуемости ЧС
очень невелика: к
моменту получения
информации,
достаточной для
выработки эф-
фективных ответных
мер, образуется
дефицит времени для
их реализации. Это
приводит к
очевидному
парадоксу в условиях
ЧС: ожидая
получения
достоверной и
достаточной для
принятия решений
информацию, не
может предпринять
продуманные меры в
целях разрешения
возникающих
проблем.
Поэтому на
ранних стадиях
потенциальной
опасности ЧС
ответные меры,
очевидно, должны
быть общего ха-
рактера,
направленными на
увеличение
стратегической
гибкости
организации. По мере
поступления
конкретной,
детализированной
информации должны
быть конкретизи-
рованы и ответные
меры, конечной целью
которых является
либо устранение
угрозы возникновения
ЧС, либо ис-
пользование
создавшихся
возможностей для
ликвидации ЧС и ее
последствий.
11.4.
Подгото
вка
меропри
ятий на
случай
возникн
овения
чрезвыч
айной
ситуаци
и
Для решения
задач
предупреждения,
нейтрализации
(локализации) и
ликвидации
последствий ЧС на
предприятии
создаются
специальные
структуры. Среди них
выделяют кризисные
группы, штабы,
службы обеспечения
защиты в условиях
ЧС, оперативные
бригады и т. п. Круг
лиц, входящих в
состав данных групп,
определяется с учетом
направленности
деятельности
предприятия, наличия
или отсутствия
филиалов, географией
размещения слу-
жебных,
производственных,
складских,
транспортных по-
мещений и других
факторов. В числе
постоянных пред-
ставителей подобных
структур выступают
руководители
предприятия и
службы безопасности,
руководители фун-
кциональных
подразделений, юрист,
специалист финансо-
вого отдела,
специально
выделенные
сотрудники функцио-
нальных
подразделений.
В обязанности
рассматриваемой
структуры (штаб, кри-
зисная группа)
входит:
— выявление
тенденций
развития ЧС;
— оценка
масштабов ее
негативного
воздействия и
последствий;
— расчет
времени и ресурсов,
необходимых для
локализации и
ликвидации,
определение
приоритетов при раз-
работке и
осуществлении
101
22:
основных мероприятий;
— сбор, обработка
и предоставление
необходимой ин-
формации для
руководителей,
принимающих решения
в условиях протекания
ЧС, предупреждение о
внезапных изменениях
в зонах действия ЧС.
При разработке
мероприятий по
подготовке к действиям
в условиях ЧС
необходимо учитывать,
что в период
протекания подобных
ситуаций
психологические
нагрузки возрастают,
поведенческие и
эмоциональные
реакции человека
меняются, может
нарушаться
координация движений,
понижается внимание и
восприятие
окружающей действи-
тельности. Поэтому
необходимо проводить
различные тренинги,
комплексы учебных
занятий, которые
позволили бы
подготовить персонал и
повысить
эффективность его
работы,
выражающуюся в
принятии четких
адекватных мер в
сложившейся ситуации.
ЗАКЛЮЧЕНИЕ
В книге
рассмотрены вопросы
организации комплекс-
ной системы защиты
информации на
предприятии. Затро-
нуты наиболее важные
аспекты научно-
методологических
основ, основные
угрозы и каналы утечки
информации, тех-
нология организации
системы защиты
информации.
Главная цель,
которую ставил перед
собой автор, показать,
что построение именно
комплексной системы
может сделать работу
по организации защиты
информации наиболее
эффективной.
При этом надо
понимать, что именно
комплексность ре-
шений подразумевает
взвешенный
дифференцированный
подход к этой
проблеме. При
создании КСЗИ
обязательно надо
учитывать особенности
предприятия, ценность
информации, и т. д.
Начинать работу
по организации КСЗИ
необходимо с
выявления
информационных
ресурсов предприятия,
подлежащих защите.
Далее — провести
оценку возможного
ущерба от утечки
данных, подлежащих
защите, и
классифицировать
информацию по
степеням важности.
Затем определить все
виды носителей
информации,
требующих защиты и
возможные угрозы.
Учитывая именно эти
(и еще ряд других)
факторы, необходимо
определить состав
разрабатываемой
системы.
КСЗИ
представляет собой
действующие в единой
совокупности
законодательные,
организационные,
технические и другие
меры, обеспечивающие
защиту информации.
Связующим звеном в
этой системе является
управляющий орган
(например, отдел по
ЗИ), который может
быть представлен как
подразделением,
осуществляющим
руководство, так и
одним сотрудником,
отвечающим за эту
деятельность.
И наконец,
никакую систему
защиты нельзя считать
абсолютно надежной,
поэтому необходимо
осуществлять
постоянный
мониторинг и развитие
функционирующей на
предприятии системы
защиты информации.
Б
И
Б
Л
И
О
ГР
А
Ф
И
Я
I. Источники
205) Гражданский
Кодекс РФ от 11 ноября
2003 г.
206) Трудовой кодекс
РФ от 01 февраля 2002
г.
207) Закон РФ «О
коммерческой тайне»
№ 98-ФЗ от 29 июля
2004 г.
208) Закон РФ «Об
информации,
информационных тех-
нологиях и о защите
"информации» № 149-
ФЗ от 27 июля 2006 г.
П. Литература
209) Абдулов П. В.
Введение в теорию
принятия решений. —
М.: ИУНХ, 1977.
210) Алексенцев А.
И. Конфиденциальное
делопроизводство. —
М.: ЗАО Бизнес-школа,
2001.
211) Алексенцев А.
И. Понятие и
назначение комплекс-
ной системы защиты
информации // Вопросы
защиты информации.
— № 2. — 1996.
212) Алексенцев А.
И. Защита информации:
Словарь базовых
терминов и
определений.
213) Алексенцев А.
И. Определение состава
конфиденциальной
информации //
Справочник секретаря
и офис-менеджера. —
№ 2, 3. — 2003.
214) Алексенцев А.
И. Угроза защищаемой
информации //
Справочник секретаря
и офис-менеджера. —
№4, 5.— 2003.
215) Алексенцев А.
И. Каналы и методы
несанкционированного
доступа к
конфиденциальной
информации // Безо-
пасность
информационных
технологий. — № 3. —
2001.
216) Алексенцев А.
И. Определение
состава конфиденци-
альных документов //
Секретарское дело. —
№ 2. — 1999.
217) Алексенцев А.
И. Причины,
обстоятельства и усло-
вия
дестабилизирующего
воздействия на
информацию //
Справочник секретаря
и офис-менеджера. —
№ 6. — 2003.
218) Алексенцев А.
И. Понятие и структура
угроз защищаемой
информации //
Справочник секретаря
и офис-менеджера. —
№ 6. — 2003.
219) By с М. А. Гриф
— «птица» важная //
БДИ. — № 3. — 1995.
220) By с М. А.,
Морозов В. П.
Информационно-
коммерческая
безопасность: защита
коммерческой тайны.
— СПб., 1993.
221) Гайковт В.
Ю., Ершов Д. В.
Основы безопасности
информационных
технологий. — М.,
1995.
222) Герасименко
В. А. Защита
информации в автома-
тизированных
системах обработки
данных.— М., 1993. Ч.
1,2.
102
22:
223) Горбатов В. С,
Кондратьева Т. А.
Информационная
безопасность. Основы
правовой защиты. —
М., 1993.
[в.Глушков В. М.
Введение в АСУ.—
Киев: Техника, 1974.
224) Гришина Н. В.
Модель
потенциального
нарушителя объекта
информатизации //
Материалы V
Международной
научно-практической
конференции
«Информационная бе-
зопасность». —
Таганрог, 2003.
225) Гришина К В.
Методы обеспечения
достоверности
информации // Сборник
трудов научно
практической кон-
ференции
«Информационная
безопасность». —
Таганрог, 2002.
226) Гришина К В.
Моделирование угроз
конфиденциальной
информации //
Безопасность
информационных тех-
нологий. — № 4. —
2001.
227) Гришина К В.,
Мецатунян М. В.,
Морозова Е. В.
Сущность и значение
информационной
безопасности ресурсов
электронных библиотек
// Безопасность
информационных
технологий. — № 2. —
1999.
228) Гришина Н. В.
Вопросы планирования
деятельности
комплексной системы
защиты информации //
Безопасность
информационных
технологий. — № 4. —
1998.
229) Гришина К В.,
Морозова Е. В.
Вопросы социально-
психологического
обеспечения
деятельности
комплексных систем
защиты информации //
Безопасность
информационных
технологий. — № 1. —
1997.
230) Гришина Н. В.
Перспективы развития
компьютерных
технологий и
проблематики ЗИ //
Безопасность инфор-
мационных
технологий. — № 2. —
1996.
231) Домарев В. В.
Безопасность
информационных тех-
нологий. Методология
создания систем
защиты / Киев: ООО
«ТИД» «ДС», 2002.
232) Дитрих Я.
Проектирование и
конструирование.
Системный подход /
Пер. с полъск. — М.:
Мир, 1981.
233) Жуков А. В.
Все о защите
коммерческой
информации. — М.:
Махаон, 1992.
234) Иванов В.,
Скородумов Б.
Стандарты
информационной
безопасности // RS-
CLUB. — № 4 (23). —
2001.
235) Крысин А. В.
Безопасность
предпринимательской
деятельности. — М.:
Финансы и статистика,
1996.
236) Лопатин В. Н.
Правовые основы
информационной
безопасности: Курс
лекций. — М.: МИФИ,
2000.
237) Мамиконов А.
Г. Методы разработки
АСУ.— М.: Энергия,
1973.
238) Мескон М. X ,
Альберт М., Хедоури
Ф. Основы ме-
неджмента.— М., 1993.
32. Мецатунян М.
В. Некоторые вопросы
проектирования
комплексных систем
защиты информации //
Безопасность
информационных
технологий. — № 1. —
1995.
ЪЪ.Мильнер Б. 3.,
Евенко Л. И ,
Раппопорт В. С. Сис-
темный подход к
организации
управления. — М.:
Экономика, 1983.
239) Минцберг Г.
Стратегический
процесс. Концепции,
проблемы, решения. —
СПб.: Питер, 2001.
240) Общеотраслев
ые руководящие
методические мате-
риалы по созданию
АСУП. — М.:
Статистика, 1977.
241) Оптнер С. Л.
Системный анализ для
решения деловых и
промышленных
проблем / Пер. с англ.
— М.: Сов. радио, 1970.
242) Организация и
современные методы
защиты информации /
Под ред. С. А. Диева, А.
Г. Шаваева. — М.: Кон-
церн «Банковский
Деловой Центр», 1998.
243) Петраков А.
В., Лагутин В. С.
Утечка и защита ин-
формации в
телефонных каналах.
—- М.:
Энергоатомиздат, 1997.
244) Рамин М. Л.,
Мишин В. И.
Региональное програм-
мно-целевое
планирование и
управление. —Рига:
АВОТС, 1985.
245) Степанов Е.
А., Корнеев И. К.
Информационная бе-
зопасность и защита
информации. — М.,
2001.
АХ.ХаляпинД. Б.,
Ярочкин В. Я. Основы
защиты про-
мышленной и
коммерческой
информации: Термины
и определения. — М.,
1994.
246) Хоффман Л.
Дж. Современные
методы защиты ин-
формации. — М.: Сов.
радио, 1980.
247) Шиверский А.
А. Защита информации.
Проблемы теории и
практики. — М.,1996.
44. Экономическая
безопасность
предприятия: защита
коммерческой тайны.
Практическое пособие
для руководителей и
специалистов / Под
ред. В. М. Чаплыгина
— М 1991.
А5.ЯрочкинВ. И.
Система безопасности
фирмы __________________________________________
М ■
Ось-89, 2003.
Оглавление
Введение..........................................................................................
3
1. Сущность и задачи
комплексной системы
защиты
информации.............................................................................
5
1.1. Подходы к
проектированию
систем
защиты
информации.....................................................................
5
1.2. Понятие
комплексной
системы
защиты
информации.....................................................................
9
1.3. Назначение
комплексной
системы
защиты
информации...................................................................
14
1.4. Принципы
построения
комплексной
системы
защиты
информации...................................................................
16
248) Стратегии
защиты информации.....................................................................
18
103
22:
249) Выработка
политики безопасности
24
250) Основные
требования,
предъявляемые
к комплексной системе
защиты информации.....................................................
29
2. Методологические
основы
комплексной
системы
защиты
информации
31
2.1.
Мето
доло
гия
защи
ты
инфо
рмац
ии
как
теор
етич
ески
й
бази
с
комп
лекс
ной
системы
защиты
информации...................................................................
31
251) Основные
положения теории
систем 34
252) Общие
законы кибернетики......................................................................
44
253) Основы
методологии принятия
управленческого
решения 46
3. Определение
состава защищаемой
информации...................................................................................
60
3.1. Методика
определения
состава
защищаемой
информации...................................................................
60
3.2.
Классификация
информации по
видам
тайны и
степеням
конфиденциа
льности...........................................................................
63
3.3. Определение
объектов защиты...................................................................
66
4. Источники,
способы и результаты
дестабилизирующего
воздействия на
информацию.. 71
4.1. Определение
источников
дестабилизирующ
его
воздействия
на
информацию..................................................................
71
4.2. Методика
выявления
способов
воздействия
на
информацию..................................................................
78
4.3.
Оп
ред
еле
ние
при
чин
и
усл
ови
й
дес
таб
или
зир
ую
щег
о
воз
дей
ств
ия
на
информацию..................................................................
85
5. Каналы и методы
несанкционированног
о
доступа к
информации...........................................................................
93
254) Выявление
каналов доступа к
информации...................................................................................
93
255) Соотношение
между каналами и
источниками
воздействия на
информацию..................................................................................
94
256) Деловая
разведка как канал
получения
информации.................................................................
102
5.4. Модель
потенциального
нарушителя..........................................................................
116
6. Моделирование
процессов
комплексной
системы защиты
информации.........................................................................
123
257) Понятие
модели объекта............................................................................
123
258) Значение
моделирования
процессов КСЗИ..........................................................................
126
259) Архитектурн
ое построение
комплексной системы
защиты информации...................................................
132
7. Технологическое
построение
комплексной
системы защиты
информации.........................................................................
138
260) Общее
содержание работ........................................................................
138
261) Этапы
разработки...................................................................................
148
262) Факторы,
влияющие на выбор
состава КСЗИ... 152
263) Модель
системы
автоматизированного
проектирования
защиты информации...................................................................
158
8. Кадровое
обеспечение
комплексной
системы защиты
информации.........................................................................
167
264) Подбор
персонала.....................................................................................
167
265) Подготовка
персонала для работы
в новых условиях........................................................
171
8.3. Мотивация...................................................................
172
8.4. Разработка
кодекса
корпоративного
поведения 175
9. Нормативно-
методическое
обеспечение КСЗИ......................................................................
185
266) Значение
нормативно-
методического
обеспечения.................................................................................
185
267) Состав
нормативно-
методического
обеспечения.................................................................................
187
268) Порядок
разработки и
внедрения
документов.. 190
10. Управление
комплексной системой
защиты
информации.........................................................................
207
269) Понятие и
цели управления..........................................................................
207
270) Планирован
ие деятельности...........................................................................
219
271) Контроль
деятельности................................................................................
233
11. Управление
комплексной
системой защиты
информа-
ции в условиях
чрезвычайных
ситуаций...............................................................................
237
272) Понятие и
виды чрезвычайных
ситуаций 237
273) Технология
принятия решения в
условиях чрез-
вычайной ситуации.....................................................................
239
274) Факторы,
влияющие на
принятие решения.......................................................................
241
275) Подготовка
мероприятий на
случай возникновения
чрезвычайной
ситуации 245
Заключение..................................................................................
247
Библиография..............................................................................
248
104
22:
Научное издание
Гришина Наталия Васильевна
Организация комплексной системы
защиты информации
Заведующая редакцией Т. А.Денисова
Корректор Е. И. Клитина Компьютерная
верстка С. И. Авилкина
Издательство «Гелиос АРВ» Издательская лицензия ЛР № 066255
Гигиенический сертификат № 77.99.02.953.Д000390.01.06 Юр.
адрес: 107140, г. Москва, Верхняя Красносельская ул., 16
Тел./факс: (495) 156-71-65, e-mail, info@gelios-arv.ru Адрес в
Internet: http://www.gelios-arv.ru
Формат 84x108/32. Печать офсетная. Объем 8 п. л. Тираж
400 экз. Бумага офсетная.
Заказ № 282 Отпечатано с готовых
диапозитивов
в типографии ГП «Облиздат». 248640, г. Калуга,
пл. Старый торг, 5
