Понятие, сущность и цели управления КСЗИ

Назначение, структура

Гл а в а 15

и содержание управления КСЗИ

Теория и практика обеспечения эффективности функциони­рования сложных организованных систем, к которым, вне всяких сомнений, относится и КСЗИ, немыслимы без применения со­временных технологий управления.

Существует ряд определений управления как процесса.

Управление — элемент, функция организованных систем раз­личной природы (биологических, социальных, технических), обес­печивающая сохранение их определенной структуры, поддержа­ние режима деятельности, реализацию программы, целей деятель­ности.

Управление — процесс осуществления информационных воз­действий на объекты управления для формирования их целена­правленного поведения.

Существуют и другие определения, зависящие от того, в какой сфере осуществляется управление. Вместе с тем где бы ни проте­кали процессы управления — при управлении КСЗИ, в управля­ющих устройствах автоматических систем, в нервной системе чело­века, в экономических и других структурах общества, они подчи­няются единым законам. Эти наиболее общие законы управления системами различной природы изучает наука об управлении — кибернетика.

С позиций кибернетики управление определяется как функ­ция системы управления, обеспечивающая организацию целена­правленной деятельности управляемой системы.

Таким образом, смысл и цель управления в КСЗИ состоит в таких изменениях организационной структуры сил и средств ЗИ, их состояния, методов и способов применения, которые обеспе­чивают максимальную эффективность их применения для дости­жения целей защиты информации.

Необходимо отмстить, что управление возможно не во всех системах (подсистемах), а только в тех, которым присущ ряд свойств.

• В сохранении системы как целого решающая роль принадле­жит информационным связям. Без обмена информацией между составляющими элементами такие системы не могут функциониро­вать. Ослабление или потеря информационных связей между эле­ментами системы неизбежно приводит к разрушению всех других связей и, как следствие, к распаду (разрушению) самой системы.

• Система способна переходить в различные состояния в соот­ветствии с управляющими (информационными) воздействиями.

• Существует несколько допустимых линий поведения систе­мы, из которых орган управления выбирает наиболее предпочти­тельную по тем или иным критериям. Если возможности выбора лучшей линии поведения нет, то управление теряет смысл, т.е. фактически отсутствует.

• Процесс функционирования системы отличается целенаправ­ленностью. Если цель не определена (или неизвестна), то, есте­ственно, управление становится бессмысленным.

. Система открыта для внешнего воздействия, т.е. влияние вне­шних воздействий может иметь самые различные природу и по­следствия.

Системы, обладающие перечисленными особенностями, назы­ваются системами с управлением. К таким системам относится и система управления КСЗИ (СУ КСЗИ).

СУ КСЗИ имеют ряд особенностей. Они предназначены для функционирования в конфликтных ситуациях, так как ЗИ пред­ставляет собой сложный двусторонний процесс (СУ КСЗИ <-» «зло­умышленник»). СУ КСЗИ может подвергаться различным видам воздействия со стороны злоумышленника (взлом, несанкциони­рованный доступ, уничтожение информации и т.п.), что, как пра­вило, приводит к нарушению функционирования как составляю­щих систему элементов, так и системы в целом. Информация, на основе которой вырабатываются управляющие воздействия (про­изводится выбор средств, методов и способов ЗИ), отличается значительной неполнотой, недостоверностью и противоречи­востью. Злоумышленник постоянно изменяет средства и методы воздействия на систему.

Сущность управления КСЗИ заключается в целенаправленной деятельности руководства предприятия, должностных лиц и службы ЗИ, направленной на достижение целей защиты информации.

Что же это за цели?

Статьей 16 Федерального закона «Об информации, информа­ционных технологиях и защите информации» |45] определены следующие цели защиты информации:

1) обеспечение защиты информации от неправомерного досту­па, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомер­ных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограничен­ного доступа;

3) реализация права на доступ к информации.

Требования о защите общедоступной информации могут уста­навливаться только для достижения целей, указанных в п. 1 и 3.

В соответствии с положениями закона управление КСЗИ пред­назначено для обеспечения эффективного решения следующих за­дач:

1) предотвращения несанкционированного доступа к инфор­мации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременного обнаружения фактов несанкционированно­го доступа к информации;

3) предупреждения возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущения воздействия на технические средства обработ­ки информации, в результате которого нарушается их функцио­нирование;

5) незамедлительного восстановления информации, модифи­цированной или уничтоженной вследствие несанкционированно­го доступа к ней;

6) постоянного контроля за обеспечением уровня защищенно­сти информации.

Достижение основных целей ЗИ связано с решением целого круга задач, составляющих содержание управления КСЗИ. Ос­новными из них являются:

1) непрерывное добывание, сбор, изучение и анализ данных обстановки;

2) поддержание системы в постоянной готовности к выполне­нию задач ЗИ;

3) принятие решений по ЗИ;

4) доведение задач до подчиненных;

5) планирование мероприятий ЗИ;

6) организация и поддержание взаимодействия структурных подразделений предприятия;

7) всестороннее обеспечение мероприятий ЗИ;

8) организация управления, под которой понимается создание системы управления, обеспечение ее эффективного функциони­рования (в том числе и зашита системы управления от всех видов воздействия злоумышленника), а также совершенствование этой системы с применением, прежде всего, новых информационных технологий;

9) управление подготовкой подразделений ЗИ;

10) организация и осуществление контроля и помощи подчи­ненным.

Необходимо отметить, что среди указанных задач особое место занимает принятие решения, которое является центральным мо­ментом, ядром управления. Согласно теории управления приня­тие решения в системах управления является прерогативой чело­века (руководителя).

Суть принятия решения состоит в том, что руководитель (на­чальник) должен творчески и ответственно определить:

1) замысел ЗИ;

2) задачи подразделениям и подчиненным;

3) основные вопросы взаимодействия и обеспечения;

4) организацию управления.

Следует подчеркнуть особую роль руководителя при принятии решения. В современных условиях принятие решения всегда осу­ществляется в условиях жесткого дефицита времени, нехватки исходной информации, а также в условиях ведения информаци­онной войны. Чтобы комплексно решать все задачи управления, необходимо создать стройную систему управления, на научной основе организовать работу подчиненных, а также важно приме­нять современные методы и средства управленческой работы, ос­нованные на широком использовании новых информационных и сетевых технологий.

Принимая решение, руководитель должен учитывать объектив­ные законы управления, которые выражают наиболее существен­ные связи и отношения различных сторон управления между со­бой и с внешней средой:

• зависимость организационных форм и методов управления КСЗИ от структуры предприятия, материально-технической базы и условий управления;

. единство организационно-методологических основ на всех уровнях управления КСЗИ;

. сохранение пропорциональности и оптимального соотноше­ния всех элементов системы управления;

• совместимость систем и средств управления подчиненных пред­приятию организаций, а также взаимодействующих организаций;

• единство и соподчиненность критериев эффективности, ис­пользуемых при управлении КСЗИ;

• соответствие потребного и располагаемого времени при ре­шении задач управления;

• зависимость эффективности решения задач управления от объема используемой информации и т.д.