Организация комплексной системы защиты информации
Шрифт:
При этом могут применяться следующие виды контроля:
— предварительный;
— текущий;
— заключительный.
Предварительный контроль обычно реализуется в форме определенной политики, процедур и правил. Прежде всего, он применяется по отношению к трудовым, материальным и финансовым ресурсам. Предварительный контроль осуществляется при любых изменениях состава, структуры и алгоритма функционирования СЗИ, т. е. при установке нового технического устройства, при приеме нового сотрудника, при проведении ремонтных работ.
Текущий контроль осуществляется, когда работа уже идет и обычно производится в виде контроля работы подчиненного его непосредственным
Заключительный контроль осуществляется после того, как работа закончена или истекло отведенное для нее время.
Также с целью обеспечения систематического наблюдения за уровнем защиты может осуществляться периодический контроль. Периодический контроль (ежедневный) проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работают. Периодический контроль может быть гласным и негласным.
Гласный периодический контроль эффективности ЗИ проводится выборочно (применительно к отдельным структурным подразделениям или отдельным работам) или на всем предприятии по планам, утвержденным руководством.
Негласный контроль осуществляется с целью объективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников, вынуждая их более тщательно выполнять требования по обеспечению ЗИ. Добросовестное и постоянное выполнение сотрудниками требований по ЗИ основывается на рациональном сочетании способов побуждения и принуждения. Принуждение — способ, при котором сотрудники вынуждены соблюдать правила обращения с носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности. Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по ЗИ моральных, этических, психологических и других нравственных мотивов. Поэтому на эффективность защиты влияет климат на предприятии, который формируется его руководством.
11. УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ В УСЛОВИЯХ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ
Обеспечение продолжительного нормального функционирования в любой системе требует пристального внимания по отношению к потенциальным нештатным ситуациям. Подготовка к работе в условиях таких ситуаций призвана свести к минимуму потери из-за нарушения функционирования, обеспечить согласованность и эффективность действий персонала и локализовать негативные воздействия. Все ситуации, возникающие в процессе функционирования, можно условно разделить на две группы: нормальные и ненормальные. Ненормальные ситуации, в свою очередь, делятся на аварийные, потенциально аварийные и нештатные. Любая из этих ситуаций требует принятия ответных мер, направленных на
— сокращение комплекса факторов, влияющих на возникновение чрезвычайной ситуации;
— защиту людских, информационных, материальных и других ресурсов от негативного воздействия, нанесения ущерба и уничтожения;
— обеспечение работы объекта во время и после реализации нештатной ситуации.
Чрезвычайную ситуацию (ЧС) можно определить как комплекс событий, проявление и протекание которых могут привести к нарушению нормального функционирования КСЗИ либо создать условия для проявления различных форм уязвимости защищаемой информации.
Чрезвычайные ситуации можно классифицировать по различным признакам:
1. По масштабам сферы действия:
— межгосударственные;
— общегосударственные;
— местные;
— объектовые.
2. По
виду наносимого ущерба:— ЧС с прямым ущербом;
— ЧС с косвенным ущербом;
— ЧС, представляющие угрозу жизни людей;
— ЧС, приводящие к нарушению экологического равновесия, уничтожению материальных ресурсов и т. д.
3. По времени и динамике развития:
— стратегические ЧС, приводящие к катастрофическим последствиям;
— медленнотекущие ЧС;
— ЧС оперативного плана, с выраженной динамикой развития.
4. По вероятности возникновения:
— прогнозируемые;
— трудно прогнозируемые;
— непрогнозируемые.
5. По степени сложности при ликвидации последствий:
— легкоустранимые ЧС;
— ЧС, требующие определенных временных и ресурсных затрат для их ликвидации;
— трудноустранимые ЧС;
— ЧС, требующие особых средств и мероприятий для ликвидации их последствий.
Основные особенности функционирования систем управления в условиях ЧС состоят в том, что проблема (чрезвычайная ситуация) возникает неожиданно, внезапно; возникая она ставит перед системой управления задачи, не соответствующие стационарному режиму работы организации и ее прошлому опыту. Контрмеры должны быть приняты срочно, однако обычный порядок не позволяет этого сделать по ряду причин:
— существующие планы работы не соответствуют новой ситуации;
— возникают новые задачи;
— информация, которую следует изучить и проанализировать, поступает мощным потоком.
В этих условиях может возникнуть опасность всеобщей паники. Руководители нижнего уровня, оказавшись в неожиданной ситуации, не имея указаний сверху и общей картины ситуации, могут поддаться этой панике и непродуманными решениями способствовать неразберихе. К тому же следует отметить, что многие руководители не могут изменить стиль своего мышления и деятельности в условиях скачкообразных, неожиданных изменений ситуации. Поэтому инициатива снизу, часто повышающая в обычных условиях эффективность принимаемых решений, в условиях ЧС теряет свою действенность и может оказаться небезопасной.
Функциональная структура системы управления по предупреждению ЧС и действиям в ЧС должна охватывать весь круг проблем, касающихся ЧС, включая этапы их прогнозирования, предупреждения и подготовки к функционированию в условиях ЧС, а также ликвидации ее последствий.
Таким образом, система управления ЧС должна функционировать в следующих четырех режимах:
— режим повседневной деятельности;
— режим повышенной готовности (активная подготовка и осуществление превентивных мероприятий);
— чрезвычайный режим (действия в чрезвычайных ситуациях);
— пост чрезвычайный режим (ликвидация долговременных последствий ЧС).
Первый режим характеризуется отсутствием информации о явных признаках угрозы возникновения ЧС.
Задача системы управления ЧС в стационарных условиях (повседневных) состоят в противоаварийном упреждающем планировании, основными целями которого являются сбор информации для прогнозирования возможного развития ЧС и контроля ее последствий, ресурсов, необходимых для их ликвидации, разработка специальных прогнозов, которые позволяют эффективно реагировать на ожидаемые проблемы, паспортизация и категоризация организаций, цехов, технологий и т. д. В данном режиме определяются и создаются нормативные, законодательные и экономические механизмы, направленные на минимизацию риска и ущерба от ЧС.