Теория и практика обеспечения эффективности функционирования сложных организованных систем, к которым, вне всяких сомнений, относится и КСЗИ, немыслимы без применения современных технологий управления.
Существует ряд определений управления как процесса.
Управление — элемент, функция организованных систем различной природы (биологических, социальных, технических), обеспечивающая сохранение их определенной структуры, поддержание режима деятельности, реализацию программы, целей деятельности.
Управление — процесс осуществления информационных воздействий на объекты управления для формирования их целенаправленного поведения.
Существуют и другие определения, зависящие от того, в какой сфере осуществляется управление. Вместе с тем где бы ни протекали процессы управления — при управлении КСЗИ, в управляющих устройствах автоматических систем, в нервной системе человека, в экономических и других структурах общества, они подчиняются единым законам. Эти наиболее общие законы управления системами различной природы изучает наука об управлении — кибернетика.
С позиций кибернетики управление определяется как функция системы управления, обеспечивающая организацию целенаправленной деятельности управляемой системы.
Таким образом, смысл и цель управления в КСЗИ состоит в таких изменениях организационной структуры сил и средств ЗИ, их состояния, методов и способов применения, которые обеспечивают максимальную эффективность их применения для достижения целей зашиты информации.
Необходимо отметить, что управление возможно не во всех системах (подсистемах), а только в тех, которым присущ ряд свойств.
• В сохранении системы как целого решающая роль принадлежит информационным связям. Без обмена информацией между составляющими элементами такие системы не могут функционировать. Ослабление или потеря информационных связей между элементами системы неизбежно приводит к разрушению всех других связей и, как следствие, к распаду (разрушению) самой системы.
• Система способна переходить в различные состояния в соответствии с управляющими (информационными) воздействиями.
• Существует несколько допустимых линий поведения систем мы, из которых орган управления выбирает наиболее предпочти-; тельную по тем или иным критериям. Если возможности выбора лучшей линии поведения нет, то управление теряет смысл, т.е. фактически отсутствует.
• Процесс функционирования системы отличается целенаправленностью. Если цель не определена (или неизвестна), то, естественно, управление становится бессмысленным.
• Система открыта для внешнего воздействия, т.е. влияние внег шних воздействий может иметь самые различные природу и. nor: следствия.
Системы, обладающие перечисленными особенностями, называются системами с управлением. К таким системам относится и система управления КСЗИ (СУ КСЗИ).
СУ КСЗИ имеют ряд особенностей. Они предназначены для функционирования в конфликтных ситуациях, так как ЗИ предоставляет собой сложный двусторонний процесс (СУ КСЗИ «злоумышленник»). СУ КСЗИ может подвергаться различным видам, воздействия со стороны злоумышленника (взлом, несанкционированный доступ, уничтожение информации и т.п.), что, как правило, приводит к нарушению функционирования как составляющих систему элементов, так и системы в целом. Информация, на основе которой вырабатываются управляющие воздействия (производится выбор средств, методов и способов ЗИ), отличается значительной неполнотой, недостоверностью и противоречивостью. Злоумышленник постоянно изменяет средства и методы воздействия на систему.
Сущность управления КСЗИ заключается в целенаправленной деятельности руководства предприятия, должностных и службы ЗИ, направленной на достижение полей зашиты информации.
Статьей 16 Федерального закона «Об информации, информационных технологиях и защите информации» [45] определены следующие цели защиты информации:
1) обеспечение защиты информации от неправомерного доступ па, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализация права на доступ к информации.
Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в п. 1 иЗ.
В соответствии с положениями закона управление КСЗИ предназначено для обеспечения эффективного решения следующих задач:
1) предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременного обнаружения фактов несанкционированного доступа к информации;
.3) предупреждения возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянного контроля за обеспечением уровня защищенности информации.
Достижение основных целей ЗИ связано с решением целого круга задач, составляющих содержание управления КСЗИ. Основными из них являются:
1) непрерывное добывание, сбор, изучение и анализ данных обстановки;
2) поддержание системы в постоянной готовности к выполнению задач ЗИ;
3) принятие решений по ЗИ;
4) доведение задач до подчиненных;
5) планирование мероприятий ЗИ;
6) организация и поддержание взаимодействия структурных подразделений предприятия;
7) всестороннее обеспечение мероприятий ЗИ;
8) организация управления, под которой понимается создание системы управления, обеспечение ее эффективного функционирования (в том числе и защита системы, управления от всех видов воздействия злоумышленника), а также совершенствование этой системы с применением, прежде всего, новых информационных технологий;
9) управление подготовкой подразделений ЗИ;
10) организация и осуществление контроля и помощи подчиненным.
Необходимо отметить, что среди указанных задач особое место занимает принятие решения, которое является центральным моментом, ядром управления. Согласно теории управления принятие решения в системах управления является прерогативой человека (руководителя).
Суть принятия решения состоит в том, что руководитель (начальник) должен творчески и ответственно определить:
1) замысел ЗИ;
2) задачи подразделениям и подчиненным;
3) основные вопросы взаимодействия и обеспечения;
4) организацию управления.
Следует подчеркнуть особую роль руководителя при принятии решения. В современных условиях принятие решения всегда осуществляется в условиях жесткого дефицита времени, нехватки исходной информации, а также в условиях ведения информационной войны. Чтобы комплексно решать все задачи управления; необходимо создать стройную систему управления, на научной основе организовать работу подчиненных, а также важно применять современные методы и средства управленческой, работы, основанные на широком использовании новых информационными сетевых технологий.
Принимая решение, руководитель должен учитывать объективные законы управления, которые выражают наиболее существенные связи и отношения различных сторон управления между собой и с внешней средой:
• зависимость организационных форм и методов управления КСЗИ от структуры предприятия, материально-технической базы и условий управления;
• единство организационно-методологических основ на всех уровнях управления КСЗИ;
• сохранение пропорциональности и оптимального соотношения всех элементов системы управления;
• совместимость систем и средств управления подчиненных предприятию организаций, а также взаимодействующих организаций;
• единство и соподчиненность критериев эффективности, используемых при управлении КСЗИ;
• соответствие потребного и располагаемого времени при решении задач управления;
• зависимость эффективности решения задач управления от1 объема используемой информации и т.д.