KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Прочая околокомпьтерная литература » Наталия Гришина - Организация комплексной системы защиты информации

Наталия Гришина - Организация комплексной системы защиты информации

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Наталия Гришина, "Организация комплексной системы защиты информации" бесплатно, без регистрации.
Перейти на страницу:

3) характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы;

4) организационные факторы, среди которых выделяется внутренняя структура компании и ее ожидаемые изменения, система управления, степень интеграции и дифференциации внутренних процессов;

5) располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.). Чем они больше, тем масштабнее могут быть инвестиции в будущие проекты. Сегодня для разработки и реализации стратегии огромное значение имеют, прежде всего, структурные, информационные и интеллектуальные ресурсы. Сравнивая значения параметров наличных и требующихся ресурсов, можно определить степень их соответствия стратегии;

6) потенциал развития организации, совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций;

7) культура, философия, этические воззрения и компетентность управленцев, уровень их притязаний и предприимчивости, способность к лидерству, внутренний климат в коллективе.

На стратегический выбор влияют: риск, на который готова идти фирма; опыт реализации действующих стратегий, позиции владельцев, наличие времени.

Рассмотрим особенности стратегических решений. По степени регламентированности они относятся к контурным (предоставляют широкую свободу исполнителям в тактическом отношении), а по степени обязательности следования главным установкам — директивным.

По функциональному назначению такие решения чаще всего бывают организационными или предписывающими способ осуществления в определенных ситуациях тех или иных действий. С точки зрения предопределенности, это решения запрограммированные. Они принимаются в новых, неординарных обстоятельствах, когда требуемые шаги трудно заранее точно расписать. С точки зрения важности, стратегические решения кардинальны: касаются основных проблем и направлений деятельности фирмы, определяют основные пути развития ее в целом, отдельных подразделений или видов деятельности на длительную перспективу (не менее 5–10 лет). Они вытекают прежде всего из внешних, а не из внутренних условий, должны учитывать тенденции развития ситуации и интересы множества субъектов. Практическая необратимость стратегических решений обусловливает необходимость их тщательной и всесторонней подготовки. Стратегическим решениям присуща комплексность. Стратегия обычно представляет собой не одно, а совокупность взаимосвязанных решений, объединенных общей целью, согласованных между собой по срокам выполнения и ресурсам. Такие решения определяют приоритеты и направления развития фирмы, ее потенциала, рынков, способы реакции на непредвиденные события. Практика сформировала следующие требования к стратегическим решениям:

1. Реальность, предполагающая ее соответствие ситуации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров, культуре, существующей системе управления;

2. Логичность, понятность, приемлемость для большинства членов организации, внутренняя целостность, непротиворечивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект;

3. Своевременность (реализация решения должна успеть приостановить отрицательное развитие ситуации или не позволить упустить выгоду);

4. Совместимость со средой, обеспечивающая возможность взаимодействия с ней (стратегия находится под влиянием изменений в окружении предприятия и сама может формировать эти изменения);

5. Направленность на формирование конкурентных преимуществ;

6. Сохранение свободы тактического маневра;

7. Устранение причин, а не следствий существующей проблемы;

8. Четкое распределение по уровням организации работы по подготовке и принятию решений, а также ответственности за них конкретных лиц;

9. Учет скрытых и явных, желательных и нежелательных последствий, которые могут возникнуть при реализации стратегии или отказе от нее для фирмы, ее партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.

Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:

— выделять, отслеживать и оценивать ключевые проблемы;

— адекватно и оперативно реагировать на изменения внутри и в окружении организации;

— выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятельности;

— создавать благоприятный морально-психологический климат, поощрять предпринимательскую и творческую активность низовых руководителей и персонала.

Исходный момент формирования стратегии — постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию. Единых рецептов выработки стратегий не существует. В одном случае целесообразно стратегическое планирование (программирование) в другом — ситуационный подход.

Исходя из большого разнообразия условий, при которых может возникнуть необходимость защиты информации, общая целевая установка на решение стратегических вопросов заключалась в разработке множества стратегий защиты, и выбор такого минимального их набора, который позволял бы рационально обеспечивать требуемую защиту в любых условиях.

В соответствии с наиболее реальными вариантами сочетаний значений рассмотренных факторов выделено три стратегии защиты:

— оборонительная — защита от уже известных угроз осуществляемая автономно, т. е. без оказания существенного влияния на информационно-управляющую систему;

— наступательная — защита от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты;

— упреждающая — создание информационной среды в которой угрозы информации не имели бы условий для проявления.

1.6. Выработка политики безопасности

Прежде чем предлагать какие-либо решения по организации системы защиты информации, предстоит разработать политику безопасности. Политика безопасности — набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты. Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. д.

Организационно политика безопасности описывает порядок представления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система защиты информации окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности — это внесение в описание объекта структуры ценностей и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Прежде всего необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут разделяться на правовые, технологические, технические и организационные.

Разработка политики безопасности организации, как формальной, так и неформальной, — безусловно, нетривиальная задача. Эксперт должен не только владеть соответствующими стандартами и хорошо разбираться в комплексных подходах к обеспечению защиты информации организации, но и, например, проявлять детективные способности при выявлении особенностей построения информационной системы и существующих мер по организации защиты информации. Аналогичная проблема возникает в дальнейшем при необходимости анализа соответствия рекомендаций политики безопасности реальному положению вещей: необходимо по некоторому критерию отобрать своего рода «контрольные точки» и сравнить их практическую реализацию с эталоном, задаваемым политикой безопасности.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*