KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Прочая околокомпьтерная литература » Наталия Гришина - Организация комплексной системы защиты информации

Наталия Гришина - Организация комплексной системы защиты информации

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Наталия Гришина, "Организация комплексной системы защиты информации" бесплатно, без регистрации.
Перейти на страницу:

Контроль является одним из важнейших и необходимых направлений работ по ЗИ. Цель контроля выявить слабые места системы, допущенные ошибки, своевременно исправить их и не допустить повторения.

Процесс контроля включает три стадии:

1. Установление фактического состояния СЗИ;

2. Анализ сравнения фактического положения с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;

3. Разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.

При принятии управленческого решения контроль выступает как источник информации, использование которого позволяет судить о содержании управленческой работы, ее качестве, результативности. Отказаться от контроля нельзя, так как это будет означать утрату информации и, следовательно, потерю управления. Контроль не является самоцелью и нужен для того, чтобы качественно обеспечить выполнение принятых решений.

Основными задачами контроля являются:

1. Определение обоснованности и практической целесообразности проводимых мероприятий по ЗИ;

2. Выявление фактического состояния СЗИ в данный период времени;

3. Установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных;

4. Изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.

Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включают:

1) Проверку выполнения сотрудниками требований по обеспечению сохранности КТ. Такая проверка может проводиться в течение рабочего дня руководителем предприятия, его заместителем, исполнительными директорами, начальниками объектов;

2) Проверку выполнения пропускного режима, то есть проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранника (на месте или нет, проверяет пропуска или нет). Может проводиться ежедневно начальником охраны объекта;

3) Проверку выполнения сотрудниками правил работы с конфиденциальными документами (правила хранения, размножения и копирования) проводится заместителем руководителя в любое время;

4) Проверку наличия защищаемых носителей конфиденциальной информации проводят сотрудники предприятия в конце рабочего дня.

При этом могут применяться следующие виды контроля:

— предварительный;

— текущий;

— заключительный.

Предварительный контроль обычно реализуется в форме определенной политики, процедур и правил. Прежде всего, он применяется по отношению к трудовым, материальным и финансовым ресурсам. Предварительный контроль осуществляется при любых изменениях состава, структуры и алгоритма функционирования СЗИ, т. е. при установке нового технического устройства, при приеме нового сотрудника, при проведении ремонтных работ.

Текущий контроль осуществляется, когда работа уже идет и обычно производится в виде контроля работы подчиненного его непосредственным начальником.

Заключительный контроль осуществляется после того, как работа закончена или истекло отведенное для нее время.

Также с целью обеспечения систематического наблюдения за уровнем защиты может осуществляться периодический контроль. Периодический контроль (ежедневный) проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работают. Периодический контроль может быть гласным и негласным.

Гласный периодический контроль эффективности ЗИ проводится выборочно (применительно к отдельным структурным подразделениям или отдельным работам) или на всем предприятии по планам, утвержденным руководством.

Негласный контроль осуществляется с целью объективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников, вынуждая их более тщательно выполнять требования по обеспечению ЗИ. Добросовестное и постоянное выполнение сотрудниками требований по ЗИ основывается на рациональном сочетании способов побуждения и принуждения. Принуждение — способ, при котором сотрудники вынуждены соблюдать правила обращения с носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности. Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по ЗИ моральных, этических, психологических и других нравственных мотивов. Поэтому на эффективность защиты влияет климат на предприятии, который формируется его руководством.

11. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ В УСЛОВИЯХ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ

11.1. Понятие и виды чрезвычайных ситуаций

Обеспечение продолжительного нормального функционирования в любой системе требует пристального внимания по отношению к потенциальным нештатным ситуациям. Подготовка к работе в условиях таких ситуаций призвана свести к минимуму потери из-за нарушения функционирования, обеспечить согласованность и эффективность действий персонала и локализовать негативные воздействия. Все ситуации, возникающие в процессе функционирования, можно условно разделить на две группы: нормальные и ненормальные. Ненормальные ситуации, в свою очередь, делятся на аварийные, потенциально аварийные и нештатные. Любая из этих ситуаций требует принятия ответных мер, направленных на

— сокращение комплекса факторов, влияющих на возникновение чрезвычайной ситуации;

— защиту людских, информационных, материальных и других ресурсов от негативного воздействия, нанесения ущерба и уничтожения;

— обеспечение работы объекта во время и после реализации нештатной ситуации.

Чрезвычайную ситуацию (ЧС) можно определить как комплекс событий, проявление и протекание которых могут привести к нарушению нормального функционирования КСЗИ либо создать условия для проявления различных форм уязвимости защищаемой информации.

Чрезвычайные ситуации можно классифицировать по различным признакам:

1. По масштабам сферы действия:

— межгосударственные;

— общегосударственные;

— местные;

— объектовые.

2. По виду наносимого ущерба:

— ЧС с прямым ущербом;

— ЧС с косвенным ущербом;

— ЧС, представляющие угрозу жизни людей;

— ЧС, приводящие к нарушению экологического равновесия, уничтожению материальных ресурсов и т. д.

3. По времени и динамике развития:

— стратегические ЧС, приводящие к катастрофическим последствиям;

— медленнотекущие ЧС;

— ЧС оперативного плана, с выраженной динамикой развития.

4. По вероятности возникновения:

— прогнозируемые;

— трудно прогнозируемые;

— непрогнозируемые.

5. По степени сложности при ликвидации последствий:

— легкоустранимые ЧС;

— ЧС, требующие определенных временных и ресурсных затрат для их ликвидации;

— трудноустранимые ЧС;

— ЧС, требующие особых средств и мероприятий для ликвидации их последствий.

11.2. Технология принятия решения в условиях чрезвычайной ситуации

Основные особенности функционирования систем управления в условиях ЧС состоят в том, что проблема (чрезвычайная ситуация) возникает неожиданно, внезапно; возникая она ставит перед системой управления задачи, не соответствующие стационарному режиму работы организации и ее прошлому опыту. Контрмеры должны быть приняты срочно, однако обычный порядок не позволяет этого сделать по ряду причин:

— существующие планы работы не соответствуют новой ситуации;

— возникают новые задачи;

— информация, которую следует изучить и проанализировать, поступает мощным потоком.

В этих условиях может возникнуть опасность всеобщей паники. Руководители нижнего уровня, оказавшись в неожиданной ситуации, не имея указаний сверху и общей картины ситуации, могут поддаться этой панике и непродуманными решениями способствовать неразберихе. К тому же следует отметить, что многие руководители не могут изменить стиль своего мышления и деятельности в условиях скачкообразных, неожиданных изменений ситуации. Поэтому инициатива снизу, часто повышающая в обычных условиях эффективность принимаемых решений, в условиях ЧС теряет свою действенность и может оказаться небезопасной.

Функциональная структура системы управления по предупреждению ЧС и действиям в ЧС должна охватывать весь круг проблем, касающихся ЧС, включая этапы их прогнозирования, предупреждения и подготовки к функционированию в условиях ЧС, а также ликвидации ее последствий.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*