Лекция 11. Планирование деятельности комплексной системы защиты информации

11.1. Цели планирования деятельности КСЗИ

Назначение планирования состоит в стремлении заблаговременно учесть по возможности все внутренние и внешние факторы, обес­печивающие благоприятные условия для нормального фун­кционирования и развития предприятия. Оно предусматри­вает разработку комплекса мероприятий, определяющих последовательность достижения конкретных целей с уче­том возможностей наиболее эффективного использования ресурсов каждым подразделением. Поэтому планирование также должно обеспечить взаимоувязку между отдельны­ми структурными подразделениями предприятия, включа­ющими всю технологическую цепочку.

Обобщенные цели планирования регламентируют общий целевой подход в процессе разработки плана.

Цели должны быть:

1. реальными и достижимыми;

2. детализированными по подразделениям;

3. измеримыми и однозначными, т.е четкими и ясными для понимания;

4. не противоречащими объективным законам управления;

5. понятными для исполнителей.

Цели задаются:

1. с учетом объема работ и сроков их выполнения;

2. с учетом имеющихся ресурсом для их достижения.

а) если достижение некоторого результата являет­ся обязательным условием планируемой деятельности, то план должен разрабатываться таким образом, чтобы этот результат достигался при минимальных затратах ресурсов, т. е. нам задан результат, который должен быть достигнут при минимальном расходе ресурсов;

б) если для планируемых действий выделяются огра­ниченные ресурсы, то план должен быть разработан таким образом, чтобы при расходовании выделенных ресурсов достигался наибольший конечный результат, т. е. нам зада­ны ресурсы и при заданных ресурсах необходимо достичь максимального результата;

3. с учетом возможностей исполнителей.

Исходя из целей планирования выделяют перспективные и текущие периоды планирования. В свою очередь в перспективном планировании зачастую выделяют долгосрочные и среднесрочные периоды.

Если перспективное планирование должно определять общие стратегические цели и направления развития предприятия, необходимые для этого ресурсы и этапы решения поставленных задач, то разрабатываемые на его основе текущие планы ориентированы на фактическое достижение намеченных целей, исходя из конкретных условий. Поэтому текущие планы дополняют, развивают и корректируют перспективы направления развития с учетом конкретной обстановки.

Формы планирования в зависимости от длительности планового периода следующие:

1. перспективное планирование (на 3…5 и более лет). При данном виде планирования нет ограничений по ресурсам;

2. среднесрочное планирование (от 1 до З лет). При данном виде планирования есть резерв ресурсов, который может быть использован;

3. текущее (рабочее) планирование (от 1 недели до 1 года). Используют только имеющиеся ресурсы.

Отличительные особенности перспективного планиро­вания:

а) основными целями планирования является совер­шенствование концепции управления защиты информа­ции, формирование планов развития средств обеспечения защиты, разработка программ оптимальных систем управ­ления защиты проектируемых систем;

б) при необходимости может предусматриваться из­менение структурного построения функционирующих сис­тем защиты, режимов их функционирования и технологи­ческих схем;

в) при необходимости могут и должны обосновывать­ся требования к совершенствованию концепции построе­ния и использования системы защиты в соответствии с тре­бованиями управления этими системами;

2) при разработке планов учитывают возможные условия изменения внешней среды.

То есть перспективное планирование предусматривает разработку общих принципов ориентации системы защи­ты информации на перспективу; определяет стратегичес­кое направление и программы развития, содержание и последовательность осуществления важнейших мероприятий, обеспечивающих достижение поставленных целей.

Поскольку оценка перспектив неопределенна, перс­пективное планирование не может быть ориентировано на достижение количественных показателей и поэтому обыч­но ограничивается разработкой лишь важнейших качест­венных характеристик, конкретизируемых в программах или прогнозах.

На основе программы разрабатываются среднесроч­ные планы, которые уже содержат не только качественные характеристики, но и количественные показатели, детали­зированные и конкретизированные с точки зрения выбора средств, для реализации целей, намеченных в рамках перс­пективного планирования.

Отличительные особенности среднесрочного планиро­вания:

а) основные цели— рациональное использование в планируемый период имеющихся средств и методов защиты информации а также обоснование предложений по развитию этих средств и методов;

б) структура системы, как правило, изменению не подлежит, но могут быть изменены режимы функционирования и технология управления защиты информации;

в) при необходимости могут и должны разрабатываться предложения по совершенствованию структуры системы защиты, исходя из требования повышения эффектив­ны защиты и управления системы защиты информации.

Основными звеньями текущего плана являются ка­лендарные планы (недельные, месячные, квартальные, годовые), которые представляют собой детальную конкретизацию целей и задач, поставленных перспективными и средне­срочными планами.

При текущем планировании:

а) основной целью является рациональное использо­вание имеющихся средств обеспечения защиты в соответс­твии с планами управления комплексной системы защиты информации;

б) структура и режимы функционирования системы за­щиты изменению не подлежат. Могут производиться лишь незначительные изменения технологии управления систе­мы защиты информации;

в) при необходимости могут и должны разрабаты­ваться предложения по включению в состав системы уп­равления защитой новых средств и по совершенствованию структуры этой системы.

11.2. Принципы планирования

Планирование реализуется через систему принципов, которые и должны быть положены в основу планирования:

1) директивность, т. е. обязательный характер планов;

2) преемственность — сочетание и взаимосвязь перс­пективного и текущего планирования: использование по­ложительного опыта работы, учет допущенных недостат­ков и просчетов;

3) конкретность — постановка четких целей и задач, определение наиболее рациональных путей, методов и способов их достижения, установление ответственности конкретных лиц за организацию и выполнение плановых мероприятий, определение оптимальных и реальных сроков их реализации;

4) гибкость — наличие возможностей маневра имею­щимися силами и средствами в ходе выполнения плана, а также корректировка плана в случае изменения обстанов­ки;

5) проблемность — нацеленность мероприятий на ре­шение значимых вопросов, сосредоточение усилий работ­ников на основных направлениях их деятельности, недопущение распыленности в использовании сил и средств;

6) комплексность — обеспечение использования всей системы мер по защите тайны на различных направлени­ях, в подразделениях, учет интересов всех, кто ведет рабо­ту на смежных участках, согласование и увязка на различ­ных уровнях всех задач и способов их достижения;

7) экономичность — максимальные результаты долж­ны достигаться при наименьших затратах сил и средств.

Качественное планирование позволяет организовать работу по решению первостепенных, наиболее важных вопросов в конкретный период времени, добиться наилуч­ших результатов в работе при затрате наименьших сил и средств, повысит ответственность исполнителей за пору­ченный участок работы, улучшит контроль, за выполне­нием мероприятий в установленные сроки. В процессе со­ставления плана руководитель готовит организационную основу для объединения усилий работников в единую сис­тему в интересах достижения поставленной цели.

11.3. Способы планирования

Планирование может быть организовано разными спо­собами.

1. Анализ. При таком способе планирования на самом высшем уровне разрабатываются основные компоненты плана: цели, задачи, возможные условия, выделенные ре­сурсы и др. Определяются основные задачи подразделений.

Также на уровне подразделений — анализируют цели, задачи, ресурсы, сроки. Анало­гично происходит на низшем уровне.

2. Синтез. В этом случае сначала составляют планы на низшем уровне, которые затем, последовательно обобщенные, синтезируют в соответствии и иерархической струк­турой.

3. Итерация. При таком способе определяют отправные установки планирования и на их основе вырабатывается первое приближение плана. На основе наилучшего варианта уточняются и корректируются исходные установки и разрабатывается следующее приближение плана и так до тех пор, пока не будет получен приемлемый вариант плана, который должен удовлетворять требованиям, как отдельных структур, так и всей системы в целом. Данный способ планирования наиболее приемлем для КСЗИ.

11.4. Основные положения разрабатываемого плана

На определение сроков осуществления намеченных мероприятий влияют: прошлый опыт их реализации, тру­доемкость, условия, в которых они будут выполняться, подготовленность исполнителей.

Содержание мероприятия должно включать: желае­мый результат, краткую программу действий, планируе­мые к использованию, силы и средства, срок исполнения.

Основные положения вновь разработанного плана ба­зируется на результатах проделанной работы по выполне­нию планов за предыдущий период и согласовываются с планами на смежных направлениях деятельности.

В начальной стадии планирования руководитель всес­торонние изучает обстановку по защите информации на предприятии, ту совокупность условий, событий, обстоя­тельств, проведения закрытых работ, которые оказывают существенное влияние на надежность и эффективность за­щиты. Моделируются вероятные тенденции ее изменения, появление принципиально новых факторов (условий, со­бытий).

Мероприятия в плане следует систематизировать по следующим четырем разделам:

1) организационно-методическая работа;

2) контрольно-проверочная работа;

3) профилактическая работа;

4) работа с кадрами.

В вводной части делается анализ и оценка обстановки на предприятии с точки зрения решения вопросов по защи­те сведений, акцентируется внимание на ее главных осо­бенностях. Оценка и прогноз развития обстановки служат исходной базой для определения содержания основных разделов плана.

Организационно-методическая деятельность может включать в себя:

— разработку инструкций, методик по различным на­правлениям режима охраны информации;

— внесение изменений и дополнений в действующие инструкции, методики с учетом изменившихся условий;

— разработку и внедрение новых организационных методов защиты информации;

— обеспечение мероприятий в связи с приемом деле­гаций, командированных, участием в работе конференций и т. д.;

— подготовку и проведение крупных совещаний, засе­даний, экспертных комиссий, выставок и т. п.;

— совершенствование системы делопроизводства, тех­нологии обработки документов;

— сокращение закрытой переписки;

— разработку и внедрение информационно-поисковых систем для классифицированных документов;

— заслушивание руководителей различных уровней о ходе выполнения утвержденных директором мероприятий;

— обоснование и внедрение новых технических средств охраны;

— совершенствование структуры подразделения эко­номической безопасности, создание и оборудование новых рабочих мест;

— меры по координации и взаимодействию различных подразделений предприятия и т. п.

Контрольно-проверочная работа может рассматри­ваться и как проверка исполнения, и как изучение состо­яния дел, что приближает ее к аналитической работе. Она включает в себя:

— контроль за выполнением работниками предпри­ятия требований соответствующих приказов, инструкций;

— проверку выполнения мероприятий, разработанных по результатам предыдущих анализов, проверок;

— контроль за порядком хранения и обращения с но­сителями тайны на рабочих местах;

— проверку подразделений предприятия;

— проверку режима при приеме командированных лиц, делегаций, проведении совещаний;

— проверку охраны, пропускного режима и т. п.

В разделе профилактических мероприятий планиру­ются действия, направленные на формирование у исполни­телей мотивов поведения, побуждающих к неукоснитель­ному соблюдению в полном объеме требований режима правил проведения закрытых работ и т. п.

В разделе работы с кадрами целесообразно включение мероприятий по обучению исполнителей и работников но­вым приемам, методам защиты тайны и т. п. Одним из на­правлений обучения и практической работы должен быть курс социально-психологических проблем взаимоотноше­ний в коллективах лиц, допущенных к классифицирован­ной информации.

Разработка плана невозможна без анализа предыдущей деятельности. Оцениваются имевшиеся случаи нарушения режима, причины и условия им сопутствующие. С учетом возможностей определяется надежность принимаемых мер по защите сведений. Рассматривается целесообразность привлечения необходимых средств и сил.

11.5. Стадии планирования

В процессе планирования должны быть выделены следующие стадии.

1. Обоснование целей и критериев, которое заключа­ется:

— в формулировании целей, которые представляют со­бой совокупность желаемых результатов и имеют иерархи­ческую структуру. Плановые цели должны обеспечивать основу для единообразного планирования на всех уровнях управления, предпосылки для последующего более деталь­ного планирования, основу для руководства выполнения планов, для мотивации поведения людей,

т. е. понима­нии ими значения выполняемых работ; основу для четко­го распределения ответственности и децентрализации пла­нирования на всех уровнях управления, для координации различной деятельности функциональных подразделений аппарата управления КСЗИ;

— в выборе критериев, который определяется целями планируемой деятельности.

2. Анализ условий. На этой стадии анализируются ус­ловия, в которых будет осуществляться планируемая де­ятельность. Анализу подлежат как внешние условия, так и внутренние (организационная структура, характеристики персонала, имеющиеся технологические схемы и т. д.).

Кроме того, в ходе функционирования КСЗИ могут возникнуть различные непредвиденные ситуации а также система будет испытывать на себе воздействие дестабили­зирующих факторов.

Все эти условия должны быть проанализированы на данной стадии.

3. Формирование задач.

Осуществляется постановка задачи и формируется комплекс задач, решение которых приведет к достижению конкретных плановых целей, а также определяются методы и разрабатываются процедуры решения каждой задачи.

4. Анализ ресурсов, которые могут быть использованы для решения задач.

Анализируют материальные (информационные, техни­ческие, программные, математические, лингвистические) и людские ресурсы. Разрабатываются прогнозы изменения этих ресурсов в процессе реализации планов. Определение факторов, влияющих, на удовлетворение потребностей в ресурсах, зависит от вида планирования, т. е. от длитель­ности планируемого периода.

5. Согласование целей, задач, условий, ресурсов.

На этой стадии происходит выделение комплексов за­дач в соответствии с целями и условиями распределения ресурсов по задачам и закрепление за каждой задачей кон­кретных исполнителей.

6. Определение последовательности выполнения за­дач.

Происходит путем установления взаимосвязи резуль­татов решений задач. Определяет время, необходимое для выполнения каждой задачи, сроки выполнения, определя­ются ответственные за выполнение задач.

7. Определение методов контроля выполнения планов:

— зависит от целей планирования, выбранных крите­риев, а также подхода и методов планирования;

— включает в себя определение параметров плана и разработку соответствующих процедур контроля.

Методы контроля будут эффективны только тогда, ког­да они выявляют характер и причины отклонения от пла­на.

8. Определение порядка корректировки планов.

Порядок должен быть регламентирован. Корректиров­ка должна проводиться в той мере, в какой это необходимо для достижения поставленных целей.

На этой стадии определяются параметры планов, под­лежащих корректировке, условия корректировки планов, способы корректировки и разрабатываются процедуры корректировки планов.

Таким образом, можно сделать следующие основные выводы:

1. планирование является неотъемлемой частью де­ятельности КСЗИ, как и деятельности любых других сис­тем;

2. от рационального планирования зависит эффектив­ность деятельности КСЗИ, а также принятие решений в экстремальных ситуациях.

11.6. Контроль деятельности

Контроль является одним из важнейших и необходи­мых направлений работ по защите информации. Цель контроля выявить слабые места системы, допущенные ошибки, своевремен­но исправить их и не допустить повторения.

Процесс контроля включает три стадии:

1. установление фактического состояния СЗИ;

2. анализ сравнения фактического положения с за­данным режимом, обстановкой и оценка характера допу­щенных отклонений и недоработок;

3. разработка мероприятий по улучшению и коррек­тировке процесса управления и принятия мер по их реа­лизации.

При принятии управленческого решения контроль выступает как источник информации, использование ко­торого позволяет судить о содержании управленческой работы, ее качестве, результативности. Отказаться от кон­троля нельзя, так как это будет означать утрату инфор­мации и, следовательно, потерю управления. Контроль не является самоцелью и нужен для того, чтобы качественно обеспечить выполнение принятых решений.

Основными задачами контроля являются:

1. определение обоснованности и практической целе­сообразности проводимых мероприятий по ЗИ;

2. выявление фактического состояния СЗИ в данный период времени;

3. установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от задан­ных;

4. изучение деловых качеств и уровня профессио­нальной подготовки лиц, осуществляющих ЗИ.

Меры контроля представляют собой совокупность ор­ганизационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включа­ют:

1) проверку выполнения сотрудниками требований по обеспечению сохранности коммерческой тайны. Такая проверка может проводиться в течение рабочего дня руководителем пред­приятия, его заместителем, исполнительными директора­ми, начальниками объектов;

2) проверку выполнения пропускного режима, то есть проверка наличия постоянных пропусков у сотруд­ников предприятия, проверка работы охранника (на месте или нет, проверяет пропуска или нет). Может проводить­ся ежедневно начальником охраны объекта;

3) проверку выполнения сотрудниками правил рабо­ты с конфиденциальными документами (правила хране­ния, размножения и копирования) проводится заместите­лем руководителя в любое время;

4) проверку наличия защищаемых носителей конфи­денциальной информации проводят сотрудники предпри­ятия в конце рабочего дня.

При этом могут применяться следующие виды конт­роля:

— предварительный;

— текущий;

— заключительный.

Предварительный контроль обычно реализуется в форме определенной политики, процедур и правил. Пре­жде всего, он применяется по отношению к трудовым, ма­териальным и финансовым ресурсам. Предварительный контроль осуществляется при любых изменениях состава, структуры и алгоритма функционирования СЗИ, т. е. при установке нового технического устройства, при приеме нового сотрудника, при проведении ремонтных работ.

Текущий контроль осуществляется, когда работа уже идет и обычно производится в виде контроля работы под­чиненного его непосредственным начальником.

Заключительный контроль осуществляется после того, как работа закончена или истекло отведенное для нее время.

Также с целью обеспечения систематического наблю­дения за уровнем защиты может осуществляться периоди­ческий контроль. Периодический контроль (ежедневный) проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работа­ют. Периодический контроль может быть гласным и не­гласным.

Гласный периодический контроль эффективности ЗИ проводится выборочно (применительно к отдельным. структурным подразделениям или отдельным работам) или на всем предприятии по планам, утвержденным ру­ководством.

Негласный контроль осуществляется с целью объ­ективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, такой контроль оказыва­ет психологическое воздействие на сотрудников, вынуж­дая их более тщательно выполнять требования по обес­печению ЗИ. Добросовестное и постоянное выполнение сотрудниками требований по ЗИ основывается на раци­ональном сочетании способов побуждения и принужде­ния. Принуждение, это способ, при котором сотрудники вынуждены соблюдать правила обращения с носителями конфиденциальной информации под угрозой материаль­ной, административной или уголовной ответственности. Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по ЗИ моральных, этических, психологичес­ких и других нравственных мотивов. Поэтому на эффек­тивность защиты влияет климат на предприятии, который формируется его руководством.