Организация комплексной системы защиты информации
Шрифт:
1. Общие положения;
2. Должностные обязанности;
3. Права.
Утверждается должностная инструкция руководителем или иным должностным лицом, уполномоченным утверждать должностные инструкции.
Предприятие должно разработать «Обязательство о неразглашении коммерческой тайны».
Следующим важным шагом с правовой точки зрения является разработка «Обязательства о неразглашении коммерческой тайны».
Разглашение информации, составляющей коммерческую тайну, — это «действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору».
В обязательство
И наконец, предприятию необходимо разработать «Подписку при увольнении с работы».
Очевидно, что некоторые сотрудники в силу обстоятельств могут покинуть фирму, соответственно необходимо учесть этот момент при правовом регулировании отношений с сотрудниками. В Обязательстве на этот счет сказано, что сотрудник обязуется в течение определенного времени после увольнения не разглашать сведения, ставшие известными ему по работе.
Политика по сохранению коммерческой тайны реализуется путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.
Защита и обработка конфиденциальных документов предусматривает:
— порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;
— систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую я тайну;
— обеспечение сохранности документов на различных носителях с грифом конфиденциальности;
— обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;
— принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющим коммерческую тайну;
— ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.
10. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Социотехнические системы, представляя собой единение человека и техники, всегда характеризуются определенными целями, которые ставят перед собой люди, достигая их с помощью технических средств, с которыми общаются через интеллектуального посредника. Причем цели и допустимые стратегии социотехнической системы в реальных ситуациях принятия решений по их защите зачастую субъективны и не могут быть точно определены. Это происходит преимущественно по той причине, что, помимо объективных законов, в их функционировании существенную роль играют субъективные представления, суждения, поступки и даже эмоции людей. Действительно, при исследовании безопасности объекта информатизации, расположенного на некотором предприятии, значительное количество информации об этом объекте может быть получено от различных групп людей:
а) имеющих опыт управления предприятием и представляющих его цели и задачи, но не знающих досконально особенностей функционирования объекта информатизации;
б) знающих особенности функционирования объекта информатизации, но не имеющих полного представления о его целях;
в) знающих теорию и практику организации защиты, но не имеющих четких представлений о целях, задачах и особенностях функционирования объекта информатизации как системы в целом и т. п.
Поэтому получаемая от них информация, как правило, носит субъективный характер, а ее представление на естественном языке, не имея аналогов в языке традиционной математики, содержит большое число неопределенностей типа «много», «мало» — если речь идет о вложениях денежных средств в совершенствование системы защиты; объекта или об изменении количества персонала, работающего в подразделениях его защиты; «не выполнены частично», «выполнены частично», «почти выполнены» и т. д. — если речь идет о выполнении требований руководящих документов по защите информации и т. д. Поэтому и описание подобной информации на языке традиционной математики обедняет математическую модель исследуемой реальной системы и делает ее слишком грубой.
По определению С. Л. Оптнера, система — это устройство, предназначенное для решения проблем. Конечно,
это определение следует относить лишь к искусственным системам (организационным, техническим, научным), которые существенно отличаются от живых. Они не обладают (да и не должны обладать) той самостоятельностью и независимостью, которая характерна для биологических объектов. Искусственные системы зависимы от субъекта и создаются под заранее спланированные цели. Состав, структура и функции таких систем подчинены достижению этих целей. Цель же создания любой искусственной системы — удовлетворение конкретной осознанной потребности человека, коллектива или общества в целом (рис. 30).Рис. 30. Общественная потребность — основа потребления систем
Следует подчеркнуть, что общественная потребность является основой не только организационных, но и технических систем. По мнению Я. Дитриха, сущность технических систем заключается в удовлетворении человеческих потребностей в условиях общественной жизни. В процесс удовлетворения общественных потребностей входят выявление потребностей, проектирование, конструирование и эксплуатация технических средств.
В связи с развитием системного анализа как основного инструментария о решении сложных проблем вместо понятия «потребность» все чаще стали использовать понятие «проблема», или «задача» («проблема» — греческое слово и в переводе означает «задача»). Связь между понятиями «проблема» и «потребность» можно выразить, определив проблему как неудовлетворенную потребность. Решить проблему — значит удовлетворить потребность, ликвидировать несоответствие между желаемым и фактическим положением дел.
Проблемы могут быть простыми и сложными. Можно различать также объектные, процессные и научно-исследовательские проблемы. Объектные проблемы выражают неудовлетворенность субъекта (общества, коллектива, индивидуума) окружающими его объектами и требуют изменить эти объекты или создать новые. Процессные проблемы выражают неудовлетворенность субъекта происходящими вокруг него процессами и требуют изменить эти процессы желаемым образом. Научно-исследовательские проблемы выражают неудовлетворенность субъекта своими знаниями об окружающих его объектах и наблюдаемых процессах.
Проблемы различают также:
— по признаку социальной осознанности: личные, коллективные, общественные;
— до основному содержанию: экономические, социальные, политические, научные, технические;
— по возможности решения на основе целевых программ;
— программируемые и непрограммируемые.
На протяжении тысячелетий люди создавали ОС, пользуясь интуицией, здравым смыслом и опытом прошлого. С возникновением письменности практический опыт построения систем стал переноситься на бумагу в виде проектов и передаваться будущему поколению. Таким образом, для построения новых ОС конструктор получил возможность пользоваться готовыми проектами аналогичных систем, хорошо зарекомендовавших себя в прошлом. Такая практика широко используется и в настоящее время. Для создания системы, имеющей аналоги в прошлом, разработчик подыскивает подходящий аналогичный проект и принимает его за основу будущей системы. Если же такого аналога; найти не удается, на помощь приходят здравый смысл и интуиция, частично дополняемые известными методами проектирования организационных структур управления, среди которых наибольшее распространение получили системный подход, нормативный метод, метод параметрическими моделирования, метод функционального моделирования и программно-целевой метод.
Разработка сложной системы разбивается на два этапа: внешнее (или макро-) и внутреннее (или микро-) проектирование. Внешнее проектирование отвечает на вопрос: с какой целью создается система?
Внутреннее — на вопрос: какими средствами реализуется система? Другими словами: «При внешнем проектировании формируется цель и критерий эффективности будущей системы, создается и экспериментально проверяется, а затем корректируется ее модель. Локализуется сама система, определяются ее границы, фиксируются факторы внешней среды, влияющие на систему или находящиеся под ее влиянием; определяются входы, на которые система должна реагировать, и виды реакций, критерии эффективности ее функционирования. Внутреннее проектирование определяет содержание самой системы».