Вопрос 2. Краткая характеристика функций управления подразделением по защите информации

Вопрос 2.1. Планирование деятельности подразделения по защите информации

 

Никакое дело нельзя хорошо сделать, если неизвестно, чего хотят достигнуть.

А. С. Макаренко

Планирование –это процесс разработки плана, определяющего то, чего нужно достичь и какими рычагами, сообразуясь со временем и пространством.

Задачи планирования деятельности подразделения по защите информации:

1. Обеспечение целенаправленного развития подразделения по защите информации в целом и всех его структурных подразделений.

2. Перспективная ориентация и раннее распознавание проблем развития.

3. Координация деятельности структурных подразделений и работников подразделения по защите информации.

4. Создание объективной базы для эффективного контроля защиты информации.

5. Стимулирование трудовой активности сотрудников подразделения по защите информации.

6. Информационное обеспечение сотрудников подразделения по защите информации.

Чтобы при планировании учесть возможные изменения во внешней среде, подразделение по защите информацииприменяют методы прогнозирования.

Прогнозирование- это предвидение хода развития на предстоящий период.

Таким образом, при планировании защиты информации разрабатывается комплекс мероприятий, который определяет последовательность достижения конкретных целей защиты с учетом наиболее эффективного использования ресурсов каждым подразделением (сотрудником подразделения) по защите информации. Благодаря планированию обеспечивается увязка функций отдельных структурных подразделений по защите информации. Результатом процесса планирования в подразделении по защите информации является система взаимосвязанных документов – планов защиты информации.

План защиты информации –основа деятельности подразделения по защите информации, который содержит указания, кому, какую задачу по защите информации и в какое время решать, какие ресурсы нужно выделить на решение каждой такой задачи.

Планы различаются по целям, предмету, уровню, содержанию, периодам планирования. При этом следует учитывать состав решаемых задач по защите информации, используемой информацией, планируемыми результатами.

Процесс планирования независимо от вида планов включает три этапа:

постановку задачи планирования защиты информации;

разработку плана на защиту информации;

реализацию планового решения по защите информации.

Этап постановки задачипланирования включает формирование цели и анализ задачи защиты информации. Конкретное выражение целей планирования зависит от вида разрабатываемых планов. Анализ задачи защиты информации заключается в изучении и сравнении фактически достигнутого или ожидаемого на момент разработки плана состояния защиты информациив организации с требуемыми целевыми значениями показателей защиты информации.

Этап разработки планапредусматривает формирование возможных вариантов решения задачи защиты информации, прогнозирование возможных последствий их реализации для подразделения по защите информации в частности и организации в целом, оценку вариантов и принятие планового решения.

Этап реализации планового решениязаключается в доведении планового решения по защите информации до исполнителей в виде плановых заданий, нормативов, показателей.

Также следует отметить, что эффективность планирования как функции управления во многом определяется тем, насколько соблюдены его принципы (рис. 5).

Рис. 5. Принципы планирования защиты информации

Принцип единства.Поскольку подразделение по защите информации – это целостная система, то все ее составные части должны развиваться в едином направлении. Поэтому плановая деятельность любого звена подразделения связана с плановой деятельностью всегоподразделения. В результате все планы, разрабатываемые в подразделении, – не просто набор документов, а их взаимосвязанная система.

Принцип участия.Этот принцип означает, что в процесс планирования защиты информации необходимо вовлекать тех лиц, кого он непосредственно затрагивает.

Принцип непрерывности.Он означает, что процесс планирования в подразделении по защите информации должен осуществляться постоянно. Это продиктовано такими объективными обстоятельствами, как неопределенность и изменчивость внешней среды. Следует учитывать и постоянные изменения представлений подразделения о своих внутренних возможностях.

Принцип гибкости.Он тесно связан с принципом непрерывности. Этот принцип заключается в обеспечении возможности для планов менять направленность в связи с возникновением непредвиденных обстоятельств. Планы должны составляться так, чтобы в них можно было вносить уточнения в связи с изменяющимися условиями деятельности подразделения по защите информации.

Принцип точности.Любой план должен быть составлен с такой степенью точности, которая возможна.

Хочется отметить, что методом управления, позволяющим объединить планирование и контроль в области защиты информации, является управление по целям защиты информации.Основное внимание в «управлении по целям защиты информации» уделяется попыткам предсказать будущее и повлиять на него, а не реагировать и действовать «задним числом».

Процесс управления по целям защиты информации состоит из следующих этапов:

выработки четких, кратких формулировок целей защиты информации;

планирования действий для достижения целей защиты информации;

систематического контроля, измерения и оценки результатов защиты информации;

корректирующих мер для достижения запланированных результатов защиты информации.

Выработка целей защиты информации.В процессе выработки целей необходим двусторонний обмен информацией для уяснения ожидаемых результатов работы и получения поддержки руководителей в объеме получаемой информации, уточнение полномочий и ответственности, горизонтальная и вертикальная координация, финансирование, материалы, оборудование, трудовые ресурсы и др.

Планирование действийсвязано с определением того, что, кто, когда, где, в каком количестве требуется для достижения целей защиты информации.

Стадии этапа планирования действий следующие:

1. Определение основных задач и мероприятий по защите информации.

2. Установление подразделений (сотрудников) по защите информации, участвующих в их реализации, и их взаимосвязей во времени.

3. Делегирование соответствующих полномочий подразделениям (сотрудникам) по защите информации.

4. Оценка затрат времени на основные мероприятия по защите информации.

5. Определение ресурсов для каждогомероприятия по защите информации.

6. Проверка сроков и корректировка планов по защите информации.

Механизм оценок и контроля результатов защиты информациидолжен включать:

определение показателей и критериев для оценки результатов защиты информации;

сопоставление фактических показателей с намеченными;

анализ отклонений между показателями;

внесение корректив в стратегию защиты информации в случае необходимости.

Корректирующие меры –последний этап процесса контроля. Если цели защиты информации не достигнуты, необходимо изменить факторы внутренней среды, если достигнуты – процесс управления по целям защиты информации может начаться заново.

Оценка плана защиты информации.Зная, какие конкретные мероприятия по защите информации потребуются для реализации стратегии защиты информации, какие средства для этого нужны, можно и нужно оценить возможность и целесообразность применения данной стратегии.

При оценке стратегического плана следует определить:

совместима ли стратегия защиты информации с возможностями организации (предприятия);

допустима ли предполагаемая степень риска;

обладает ли организация (предприятие) достаточными ресурсами для реализации стратегии защиты информации;

учитывает ли стратегия защиты информации внешние дестабилизирующие факторы и возможности их реализации;

лучший ли это метод защиты информации с учетом применения ресурсов организации (предприятия).

Оценивать стратегию защиты информации следует постоянно, так как непрерывно происходят изменения во внешней и внутренней среде организации (предприятия). Результаты оценки могут служить основанием для пересмотра целей защиты информации или применяемой стратегии защиты информации.

Для обеспечения эффективной защиты информации в организации (на предприятии) в общем случае должны регулярно осуществляться семь функций защиты:

1) Предупреждение условий, порождающих дестабилизирующие факторы.

2) Предупреждение проявления дестабилизирующих факторов.

3) Обнаружение проявившихся дестабилизирующих факторов.

4) Нейтрализация воздействия на информацию проявившихся дестабилизирующих факторов.

5) Обнаружение снижения защищенности информации.

6) Локализация снижения защищенности информации.

7) Ликвидация последствий.

Нетрудно видеть, что перечисленные функции образуют последовательность действий в том виде, как это приведено в перечне. Поэтому планирование управлением подразделения по защите информации есть процесс выработки программы оптимального использования в предстоящий (планируемый) период функционирования организации (предприятия) имеющихся средств защиты. При этом под оптимальностью использования средств защиты информации понимается достижение одной из следующих двух целей (в зависимости от постановки задачи):

достижение максимальной защищенности информации при заданных расходах на ее защиту (прямая постановка задачи);

достижение заданной защищенности информации при минимальных расходах на ее защиту (обратная постановка задачи).